Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\lmi498d.tmp\avutil-51.dll
- %TEMP%\lmi498d.tmp\lmiguardian.exe
- %TEMP%\lmi498d.tmp\lmiguardiandll.dll
- %TEMP%\lmi498d.tmp\lmiguardianevt.dll
- %TEMP%\lmi498d.tmp\lmiproxyhelper.exe
- %TEMP%\lmi498d.tmp\logmein client.exe
- %TEMP%\lmi498d.tmp\ractrl.dll
- %TEMP%\lmi498d.tmp\ractrlkeyhook.dll
- %TEMP%\lmi498d.tmp\swscale-2.dll
- %TEMP%\lmi498d.tmp\deployinfo.txt
- %TEMP%\lmi498d.tmp.cmd
- %LOCALAPPDATA%\logmein client\logs\logmein client.log
- nul
- %TEMP%\lmidcb7.tmp.cmd
- %TEMP%\lmidf57.tmp.cmd
Удаляет следующие файлы
- %TEMP%\lmi498d.tmp\deployinfo.txt
- %TEMP%\lmi498d.tmp.cmd
- %TEMP%\lmi498d.tmp\avutil-51.dll
- %TEMP%\lmi498d.tmp\lmiproxyhelper.exe
- %TEMP%\lmi498d.tmp\ractrl.dll
- %TEMP%\lmi498d.tmp\ractrlkeyhook.dll
- %TEMP%\lmi498d.tmp\swscale-2.dll
- %TEMP%\lmi498d.tmp\lmiguardian.exe
- %TEMP%\lmi498d.tmp\lmiguardiandll.dll
- %TEMP%\lmi498d.tmp\lmiguardianevt.dll
- %TEMP%\lmi498d.tmp\logmein client.exe
- %TEMP%\lmidcb7.tmp.cmd
- %TEMP%\lmidf57.tmp.cmd
Самоудаляется.
Сетевая активность
Подключается к
- 'td#########axdfpy.app03-23.logmein.com':443
- 'se####.logmein.com':443
TCP
- 'se####.logmein.com':443
UDP
- DNS ASK td#########axdfpy.app03-23.logmein.com
- DNS ASK se####.logmein.com
- DNS ASK microsoft.com
Другое
Ищет следующие окна
- ClassName: 'DDEMLMom' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\lmi498d.tmp\logmein client.exe' install
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\LMI498D.tmp.cmd" "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\LMIDCB7.tmp.cmd" "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\LMIDF57.tmp.cmd" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\LMI498D.tmp.cmd" "
- '%WINDIR%\syswow64\ping.exe' -n 2 127.0.0.1
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\LMIDCB7.tmp.cmd" "
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\LMIDF57.tmp.cmd" "
- '%WINDIR%\syswow64\ping.exe' -n 5 127.0.0.1
