Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\taskhost
- <SYSTEM32>\tasks\dwm
- <SYSTEM32>\tasks\msiexec
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\webio\taskhost.exe
- <SYSTEM32>\webio\b75386f1303e64d8139363b71e44ac16341adf4e
- <SYSTEM32>\msidle\dwm.exe
- <SYSTEM32>\msidle\6cb0b6c459d5d3455a3da700e713f2e2529862ff
- %ProgramFiles(x86)%\windows media player\en-us\msiexec.exe
- %ProgramFiles(x86)%\windows media player\en-us\133006b48fb54b65ec2045921283a18304e24d5a
- <SYSTEM32>\ipsecsvc\msiexec.exe
- <SYSTEM32>\ipsecsvc\133006b48fb54b65ec2045921283a18304e24d5a
Сетевая активность
Подключается к
- '82.##6.59.236':80
- 'ip##fo.io':443
TCP
Запросы HTTP GET
- http://82.##6.59.236/processorDefault.php?HE#####################################################################################################################################################...
UDP
- DNS ASK ip##fo.io
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\ipsecsvc\msiexec.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "taskhost" /sc ONLOGON /tr "'<SYSTEM32>\webio\taskhost.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "dwm" /sc ONLOGON /tr "'<SYSTEM32>\msidle\dwm.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "msiexec" /sc ONLOGON /tr "'%ProgramFiles(x86)%\Windows Media Player\en-US\msiexec.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "msiexec" /sc ONLOGON /tr "'<SYSTEM32>\IPSECSVC\msiexec.exe'" /rl HIGHEST /f
