Техническая информация
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\ping.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ad-mymacro9.xml
- %ALLUSERSPROFILE%\boost_interprocess_qm\nrkjujzr7lf
- %ALLUSERSPROFILE%\boost_interprocess_qm\nrkjujzr7lfy
- %APPDATA%\mymacro\qdisp.dll
- %APPDATA%\mymacro\cfgdll.dll
- %TEMP%\qmlog\20230508.log
- %APPDATA%\mymacro\binding.exe
- %APPDATA%\mymacro\updatemacro.dat
- %APPDATA%\mymacro\mt.exe
- %TEMP%\mt.zip
- %APPDATA%\mymacro\runner.exe
- %TEMP%\runner.zip
- %APPDATA%\mymacro\rkey.dat
- %TEMP%\rkey.zip
- %TEMP%\mymacro.zip
- %TEMP%\plugin.zip
- %TEMP%\mac24bf.tmp
- %TEMP%\adcon\mm\tmpad.xml
- %ALLUSERSPROFILE%\boost_interprocess_qm\izy_idatgyo2
- %ALLUSERSPROFILE%\boost_interprocess_qm\spwyoitffms6
Удаляет следующие файлы
- %TEMP%\adcon\mm\tmpad.xml
- %TEMP%\plugin.zip
- %TEMP%\mymacro.zip
- %TEMP%\rkey.zip
- %TEMP%\runner.zip
- %TEMP%\mt.zip
- %ALLUSERSPROFILE%\boost_interprocess_qm\spwyoitffms6
Сетевая активность
UDP
- DNS ASK so##.anjian.com
- DNS ASK do##.#rbrothers.com
- DNS ASK ba##u.com
- DNS ASK hm.##idu.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\mymacro\runner.exe' --host_id 3 --verify_key 5O11EO2QIc1h --product "<Полный путь к файлу>" --runner_md5 Rjg4N0Q0MjY2MkI0RUM3RTU3N0VBOTI0RUVDOEM3ODcA --version 2014.06.19549
- '%APPDATA%\mymacro\binding.exe'
- '%WINDIR%\syswow64\ping.exe' www.baidu.com -n 2' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\ping.exe' www.baidu.com -n 2
