Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmp14f6.tmp
- %TEMP%\tmp1545.tmp
- %APPDATA%\drmsoft2251b\cpn.exe
- %APPDATA%\drmsoft2251b\helper64.exe
- %APPDATA%\drmsoft2251b\proxychecker.exe
- %APPDATA%\drmsoft2251b\prxdrvpe.dll
- %APPDATA%\drmsoft2251b\prxdrvpe64.dll
- %APPDATA%\drmsoft2251b\settings.ini
- %APPDATA%\drmsoft2251b\profiles\default.ppx
- %TEMP%\afx25c6b625.tmp
- %TEMP%\afxa6806424.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\drmsoft2251b\cpn.exe
Удаляет следующие файлы
- %TEMP%\tmp14f6.tmp
- %TEMP%\tmp1545.tmp
Сетевая активность
Подключается к
- 'pr###fier.com':80
TCP
Запросы HTTP GET
- http://www.pr###fier.com/distr/last_versions/ProxifierPortable/?no########################
UDP
- DNS ASK pr###fier.com
Другое
Добавляет корневой сертификат
Ищет следующие окна
- ClassName: 'Proxifier32Cls' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\drmsoft2251b\cpn.exe'
- '%APPDATA%\drmsoft2251b\helper64.exe' 2084
- '%APPDATA%\drmsoft2251b\cpn.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\attrib.exe' +h +s "%APPDATA%\drmsoft2251b" /s /d
- '<SYSTEM32>\attrib.exe' +h +s "%APPDATA%\drmsoft2251b\cpn.exe" /s /d
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\dw20.exe' -x -s 980
