Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-iadfh.tmp\<Имя файла>.tmp
- %ProgramFiles(x86)%\harum\qui\is-78gkj.tmp
- %ProgramFiles(x86)%\harum\qui\is-d5nc4.tmp
- %ProgramFiles(x86)%\harum\qui\is-uuu9g.tmp
- %ProgramFiles(x86)%\harum\qui\is-lm5j0.tmp
- %ProgramFiles(x86)%\harum\quaerat\is-j76kc.tmp
- %ProgramFiles(x86)%\harum\quaerat\is-peqtg.tmp
- %ProgramFiles(x86)%\harum\quaerat\is-09s8o.tmp
- %ProgramFiles(x86)%\harum\quaerat\is-718ff.tmp
- %ProgramFiles(x86)%\harum\quaerat\is-krn7f.tmp
- %ProgramFiles(x86)%\harum\minus\is-lq593.tmp
- %ProgramFiles(x86)%\harum\minus\is-s8lgf.tmp
- %ProgramFiles(x86)%\harum\minus\is-281gq.tmp
- %ProgramFiles(x86)%\harum\minus\is-c1i54.tmp
- %ProgramFiles(x86)%\harum\minus\is-jbud8.tmp
- %ProgramFiles(x86)%\harum\minus\is-48mpt.tmp
- %ProgramFiles(x86)%\harum\is-8puf9.tmp
- %ProgramFiles(x86)%\harum\is-1ubok.tmp
- %ProgramFiles(x86)%\harum\is-jg2c4.tmp
- %TEMP%\is-frai9.tmp\_isetup\_iscrypt.dll
- %TEMP%\is-frai9.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-frai9.tmp\_isetup\_setup64.tmp
- %ProgramFiles(x86)%\harum\is-ju276.tmp
- %ProgramFiles(x86)%\harum\unins000.dat
Перемещает следующие файлы
- %ProgramFiles(x86)%\harum\is-jg2c4.tmp в %ProgramFiles(x86)%\harum\unins000.exe
- %ProgramFiles(x86)%\harum\qui\is-d5nc4.tmp в %ProgramFiles(x86)%\harum\qui\in.key
- %ProgramFiles(x86)%\harum\qui\is-uuu9g.tmp в %ProgramFiles(x86)%\harum\qui\excepturi.mp4
- %ProgramFiles(x86)%\harum\qui\is-lm5j0.tmp в %ProgramFiles(x86)%\harum\qui\et.rar
- %ProgramFiles(x86)%\harum\quaerat\is-j76kc.tmp в %ProgramFiles(x86)%\harum\quaerat\repudiandae.avi
- %ProgramFiles(x86)%\harum\quaerat\is-peqtg.tmp в %ProgramFiles(x86)%\harum\quaerat\quia.ha
- %ProgramFiles(x86)%\harum\quaerat\is-09s8o.tmp в %ProgramFiles(x86)%\harum\quaerat\non.pps
- %ProgramFiles(x86)%\harum\quaerat\is-718ff.tmp в %ProgramFiles(x86)%\harum\quaerat\enim.png
- %ProgramFiles(x86)%\harum\qui\is-78gkj.tmp в %ProgramFiles(x86)%\harum\qui\quasi.txt
- %ProgramFiles(x86)%\harum\quaerat\is-krn7f.tmp в %ProgramFiles(x86)%\harum\quaerat\doloribus.html
- %ProgramFiles(x86)%\harum\minus\is-s8lgf.tmp в %ProgramFiles(x86)%\harum\minus\suscipit.wav
- %ProgramFiles(x86)%\harum\minus\is-281gq.tmp в %ProgramFiles(x86)%\harum\minus\quo.ha
- %ProgramFiles(x86)%\harum\minus\is-c1i54.tmp в %ProgramFiles(x86)%\harum\minus\dolorum.txt
- %ProgramFiles(x86)%\harum\minus\is-jbud8.tmp в %ProgramFiles(x86)%\harum\minus\autem.wpd
- %ProgramFiles(x86)%\harum\minus\is-48mpt.tmp в %ProgramFiles(x86)%\harum\minus\aliquam.tex
- %ProgramFiles(x86)%\harum\is-8puf9.tmp в %ProgramFiles(x86)%\harum\optio.exe
- %ProgramFiles(x86)%\harum\is-1ubok.tmp в %ProgramFiles(x86)%\harum\in.wav
- %ProgramFiles(x86)%\harum\minus\is-lq593.tmp в %ProgramFiles(x86)%\harum\minus\tenetur.wpd
- %ProgramFiles(x86)%\harum\is-ju276.tmp в %ProgramFiles(x86)%\harum\sqlite3.dll
Сетевая активность
TCP
Запросы HTTP POST
- http://cl###etapi.com/v2/events
UDP
- DNS ASK cl###etapi.com
Другое
Ищет следующие окна
- ClassName: '70DAA336-6725-40C0-9301-51E4F71AD7D4' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\is-iadfh.tmp\<Имя файла>.tmp' /SL5="$D0212,2685112,114176,<Полный путь к файлу>"
- '%ProgramFiles(x86)%\harum\optio.exe' 9db7f1ca0bdeed9493a5ed172f95b92f
