Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmp_44850.9945035069
- %WINDIR%\<Имя файла>.exe
- %TEMP%\tmp_44850.9945524421
- %WINDIR%\vistamnt.exe
- %WINDIR%\moscii\logs\agent.log
- %WINDIR%\moscii\inventory\534cb850-7ff3-45d3-82a6-6dcf4eb608d8_swinv.xml
- %WINDIR%\moscii\inventory\534cb850-7ff3-45d3-82a6-6dcf4eb608d8_hwinv.xml
- %WINDIR%\moscii\inventory\534cb850-7ff3-45d3-82a6-6dcf4eb608d8_info.xml
- %WINDIR%\moscii\config\agentconfig.cfg
- %WINDIR%\moscii\config\systemconfig.cfg
Удаляет следующие файлы
- %TEMP%\tmp_44850.9945035069
- %TEMP%\tmp_44850.9945524421
Сетевая активность
Подключается к
- 'localhost':33333
UDP
- '<LOCALNET>.42.31':25000
Другое
Создает и запускает на исполнение
- '%WINDIR%\<Имя файла>.exe'
- '%WINDIR%\vistamnt.exe'
- '%WINDIR%\syswow64\cmd.exe' ^/C del %TEMP%\\tmp_*.* >%TEMP%\\tmp_44850.9945035069' (со скрытым окном)
- '%WINDIR%\<Имя файла>.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' ^/C del %TEMP%\\tmp_*.* >%TEMP%\\tmp_44850.9945524421' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' ^/C del %TEMP%\\tmp_*.* >%TEMP%\\tmp_44850.9945035069
- '%WINDIR%\syswow64\cmd.exe' ^/C del %TEMP%\\tmp_*.* >%TEMP%\\tmp_44850.9945524421
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\<Имя файла>.exe"
