Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\runtimebrocker.exe.lnk
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\set.rar
- %LOCALAPPDATA%\setup.exe
- %TEMP%\7807d31o.bat
- %APPDATA%\winrar\version.dat
- %APPDATA%\winrar\set.exe
- %TEMP%\msvcr120.dll
- %TEMP%\svnchost.exe
- %TEMP%\is-4rquc.tmp\setup.tmp
- %TEMP%\runtimebrocker.exe
- %TEMP%\is-frhib.tmp\_isetup\_setup64.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\7807d31o.bat
Удаляет следующие файлы
- %TEMP%\7807d31o.bat
- %LOCALAPPDATA%\set.rar
- %LOCALAPPDATA%\setup.exe
Сетевая активность
UDP
- DNS ASK av####kk.beget.tech
Другое
Ищет следующие окна
- ClassName: 'WinRarWindow' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\winrar\set.exe'
- '%LOCALAPPDATA%\setup.exe'
- '%TEMP%\is-4rquc.tmp\setup.tmp' /SL5="$C022C,4944895,494080,%LOCALAPPDATA%\setup.exe"
- '%TEMP%\runtimebrocker.exe'
- '%TEMP%\svnchost.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7807D31O.bat" "<Полный путь к файлу>" "' (со скрытым окном)
- '%TEMP%\svnchost.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7807D31O.bat" "<Полный путь к файлу>" "
- '%ProgramFiles%\winrar\winrar.exe' X %LOCALAPPDATA%\SET.rar "%APPDATA%\WinRAR\" /y -p123
