Техническая информация
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\jtabgqzebb.exe
- %WINDIR%\temp\tarf8fb.tmp
- %WINDIR%\temp\cabf8fa.tmp
- %WINDIR%\temp\tare2da.tmp
- %WINDIR%\temp\cabe2d9.tmp
- %WINDIR%\temp\tare29a.tmp
- %WINDIR%\temp\cabe299.tmp
- %WINDIR%\temp\tarcc6a.tmp
- %WINDIR%\temp\cabcc69.tmp
- %WINDIR%\temp\tarb54f.tmp
- %WINDIR%\temp\cabb54e.tmp
- %WINDIR%\temp\tar9d2c.tmp
- %WINDIR%\temp\cab9d2b.tmp
- %WINDIR%\temp\tar9ceb.tmp
- %WINDIR%\temp\cab9cea.tmp
- nul
- %WINDIR%\temp\cab4cf5.tmp
- %WINDIR%\temp\tar4cf6.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cab9cea.tmp
- %WINDIR%\temp\tar9ceb.tmp
- %WINDIR%\temp\cab9d2b.tmp
- %WINDIR%\temp\tar9d2c.tmp
- %WINDIR%\temp\cabb54e.tmp
- %WINDIR%\temp\tarb54f.tmp
- %WINDIR%\temp\cabcc69.tmp
- %WINDIR%\temp\tarcc6a.tmp
- %WINDIR%\temp\cabe299.tmp
- %WINDIR%\temp\tare29a.tmp
- %WINDIR%\temp\cabe2d9.tmp
- %WINDIR%\temp\tare2da.tmp
- %WINDIR%\temp\cabf8fa.tmp
- %WINDIR%\temp\tarf8fb.tmp
- %WINDIR%\temp\cab4cf5.tmp
- %WINDIR%\temp\tar4cf6.tmp
Самоудаляется.
Сетевая активность
Подключается к
- 'mo###ith.club':443
- 'microsoft.com':80
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgOoHXCU1xq63SKm2yL0eg3ugw%3D%3D
Другие
- 'mo###ith.club':443
UDP
- DNS ASK mo###ith.club
- DNS ASK microsoft.com
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
Другое
Создает и запускает на исполнение
- '<Текущая директория>\jtabgqzebb.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C ping 1.1.1.1 -n 1 -w 6000 > Nul & Del "<Полный путь к файлу>"
- '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 6000
