Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\u1yufjbz\u1yufjbz.0.cs
- %TEMP%\u1yufjbz\u1yufjbz.cmdline
- %TEMP%\u1yufjbz\u1yufjbz.out
- %TEMP%\u1yufjbz\csc7e23d25c30f6456d8b501a526180fc.tmp
- %TEMP%\res125f.tmp
- %TEMP%\u1yufjbz\u1yufjbz.dll
- %TEMP%\bit7aed.tmp
- %TEMP%\bitaf4c.tmp
- %TEMP%\bitb1ed.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bit7aed.tmp
- %TEMP%\bitaf4c.tmp
Перемещает следующие файлы
- %TEMP%\bit7aed.tmp в %TEMP%\wct77e0.tmp
- %TEMP%\bitaf4c.tmp в %TEMP%\wctaf4c.tmp
Сетевая активность
TCP
Другие
- 'g.##ve.com':443
- 'on####ent.sfx.ms':443
UDP
- DNS ASK g.##ve.com
- DNS ASK on####ent.sfx.ms
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\u1yufjbz\u1yufjbz.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES125F.tmp" "%TEMP%\u1yufjbz\CSC7E23D25C30F6456D8B501A526180FC.TMP"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\u1yufjbz\u1yufjbz.cmdline"
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES125F.tmp" "%TEMP%\u1yufjbz\CSC7E23D25C30F6456D8B501A526180FC.TMP"
