Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\windows.update.dur-2021-0101.lnk
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\server.dat
- C:\users\public\documents\ddupmanage.dll
- C:\users\public\documents\iboxhelper.dll
- C:\users\public\documents\powermonster.exe
- C:\users\public\documents\server.vbe
- C:\users\public\documents\unzip.dat
- C:\users\public\documents\unzip.exe
- C:\users\public\documents\unzip.lnk
- C:\users\public\documents\ycardhelper.dll
- %WINDIR%\temp\fwtsqmfile01.sqm
Удаляет следующие файлы
- C:\users\public\documents\unzip.exe
- C:\users\public\documents\server.vbe
- C:\users\public\documents\unzip.lnk
- C:\users\public\documents\server.dat
- C:\users\public\documents\server.dll
- C:\users\public\documents\unzip.dat
Самоудаляется.
Сетевая активность
Подключается к
- '10#.#25.220.197':88
- 'bi###u9918.com':9910
UDP
- DNS ASK bi###u9918.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "C:\Users\Public\Documents\Server.vbe"
- 'C:\users\public\documents\powermonster.exe'
- 'C:\users\public\documents\unzip.exe' -o -P Startup8888 C:\Users\Public\Documents\unzip.dat -d "%APPDATA%"
- '%WINDIR%\syswow64\wscript.exe' "C:\Users\Public\Documents\Server.vbe"' (со скрытым окном)
- 'C:\users\public\documents\powermonster.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del /q <Полный путь к файлу>' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del /q <Полный путь к файлу>
