Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-5vgik.tmp\is-tu79r.tmp
- %TEMP%\is-0am9d.tmp\_isetup\_setup64.tmp
- %TEMP%\is-0am9d.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-0am9d.tmp\_iscrypt.dll
- %ProgramFiles(x86)%\ardfilespro\is-ojg77.tmp
- %ProgramFiles(x86)%\ardfilespro\is-bo15h.tmp
- %ProgramFiles(x86)%\ardfilespro\is-oqabc.tmp
- %ProgramFiles(x86)%\ardfilespro\is-3m6fr.tmp
- %ProgramFiles(x86)%\ardfilespro\is-j32ae.tmp
- %ProgramFiles(x86)%\ardfilespro\unins000.dat
- %ProgramFiles(x86)%\ardfilespro\ardmyfilespro.exe
- %TEMP%\gwqsaf.txt
Перемещает следующие файлы
- %ProgramFiles(x86)%\ardfilespro\is-ojg77.tmp в %ProgramFiles(x86)%\ardfilespro\unins000.exe
- %ProgramFiles(x86)%\ardfilespro\is-bo15h.tmp в %ProgramFiles(x86)%\ardfilespro\ardmyfilespro.exe
- %ProgramFiles(x86)%\ardfilespro\is-oqabc.tmp в %ProgramFiles(x86)%\ardfilespro\wipeext.dll
- %ProgramFiles(x86)%\ardfilespro\is-3m6fr.tmp в %ProgramFiles(x86)%\ardfilespro\undeletelib.dll
- %ProgramFiles(x86)%\ardfilespro\is-j32ae.tmp в %ProgramFiles(x86)%\ardfilespro\userrights.dll
Сетевая активность
Подключается к
- 'id###angede.cf':80
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab?69########
Запросы HTTP POST
- http://id###angede.cf/new/net_api
UDP
- DNS ASK id###angede.cf
Другое
Ищет следующие окна
- ClassName: '{A0297FA3-7FD8-4808-9A05-ABFBD29136A5}' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\is-5vgik.tmp\is-tu79r.tmp' /SL4 $B0238 "<Полный путь к файлу>" 4036705 48128
- '%ProgramFiles(x86)%\ardfilespro\ardmyfilespro.exe'
- '%ProgramFiles(x86)%\ardfilespro\ardmyfilespro.exe' f9c32d3d3ca61edc1adee014db837103
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Query
- '%WINDIR%\syswow64\schtasks.exe' /Delete /F /TN "UndeleteMyFiles Pro 32"
