Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\apiutilitiesver0.18
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\onsaxuhlw9khjy7lp94xy3wk1gp40n3w.exe
- %TEMP%\lnhegefdrchb530gr1t5xrhu1hj0emvi.exe
- %TEMP%\api utilities ver 0.18\apiutilitiesver0.18.exe
- %TEMP%\tmp143b.tmp.bat
- nul
Удаляет следующие файлы
- %TEMP%\onsaxuhlw9khjy7lp94xy3wk1gp40n3w.exe
Сетевая активность
Подключается к
- 'ap#.#pify.org':443
- 'microsoft.com':80
TCP
- 'ap#.#pify.org':443
UDP
- DNS ASK ap#.#pify.org
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%TEMP%\onsaxuhlw9khjy7lp94xy3wk1gp40n3w.exe'
- '%TEMP%\lnhegefdrchb530gr1t5xrhu1hj0emvi.exe'
- '%TEMP%\api utilities ver 0.18\apiutilitiesver0.18.exe'
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "APIUtilitiesver0.18" /tr '"%TEMP%\API Utilities ver 0.18\APIUtilitiesver0.18.exe"' & exit' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del "lNheGefdrCHb530Gr1T5XrhU1hJ0eMVi.exe"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "APIUtilitiesver0.18" /tr '"%TEMP%\API Utilities ver 0.18\APIUtilitiesver0.18.exe"' & exit
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /rl highest /tn "APIUtilitiesver0.18" /tr '"%TEMP%\API Utilities ver 0.18\APIUtilitiesver0.18.exe"'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp143B.tmp.bat""
- '<SYSTEM32>\timeout.exe' 3
- '%WINDIR%\syswow64\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del "lNheGefdrCHb530Gr1T5XrhU1hJ0eMVi.exe"
- '%WINDIR%\syswow64\choice.exe' /C Y /N /D Y /T 3
