Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\iexplore
- <SYSTEM32>\tasks\csrss
- <SYSTEM32>\tasks\dwm
- <SYSTEM32>\tasks\services
- <SYSTEM32>\tasks\firefox
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\fsuninst\iexplore.exe
- %ProgramFiles%\fsuninst\9db6e019d4f04ef534d0f91b3462d805c40e9d20
- %ProgramFiles%\wlloginproxy\csrss.exe
- %ProgramFiles%\wlloginproxy\886983d96e3d3e31032c679b2d4ea91b6c05afef
- C:\totalcmd\language\dwm.exe
- C:\totalcmd\language\6cb0b6c459d5d3455a3da700e713f2e2529862ff
- <SYSTEM32>\wdi\services.exe
- <SYSTEM32>\wdi\c5b4cb5e9653cce737f29f72ba880dd4c4bab27d
- %ProgramFiles(x86)%\mozilla firefox\accessiblemarshal\firefox.exe
- %ProgramFiles(x86)%\mozilla firefox\accessiblemarshal\0fc223bdacedc38dd6d2772d547ade1563558e92
Сетевая активность
Подключается к
- '82.##6.59.236':80
- 'ip##fo.io':443
TCP
Запросы HTTP GET
- http://82.##6.59.236/processorDefault.php?oT#####################################################################################################################################################...
UDP
- DNS ASK ip##fo.io
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\mozilla firefox\accessiblemarshal\firefox.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "iexplore" /sc ONLOGON /tr "'%ProgramFiles%\fsuninst\iexplore.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "csrss" /sc ONLOGON /tr "'%ProgramFiles%\WLLoginProxy\csrss.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "dwm" /sc ONLOGON /tr "'C:\totalcmd\LANGUAGE\dwm.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "services" /sc ONLOGON /tr "'<SYSTEM32>\wdi\services.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "firefox" /sc ONLOGON /tr "'%ProgramFiles(x86)%\Mozilla Firefox\AccessibleMarshal\firefox.exe'" /rl HIGHEST /f
