Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cabae77.tmp
- %WINDIR%\temp\tarae87.tmp
- %WINDIR%\temp\cabb146.tmp
- %WINDIR%\temp\tarb147.tmp
- %WINDIR%\temp\cabb213.tmp
- %WINDIR%\temp\tarb233.tmp
- %WINDIR%\temp\cabb408.tmp
- %WINDIR%\temp\tarb409.tmp
- %WINDIR%\temp\cabb6c8.tmp
- %WINDIR%\temp\tarb6c9.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cabae77.tmp
- %WINDIR%\temp\tarae87.tmp
- %WINDIR%\temp\cabb146.tmp
- %WINDIR%\temp\tarb147.tmp
- %WINDIR%\temp\cabb213.tmp
- %WINDIR%\temp\tarb233.tmp
- %WINDIR%\temp\cabb408.tmp
- %WINDIR%\temp\tarb409.tmp
- %WINDIR%\temp\cabb6c8.tmp
- %WINDIR%\temp\tarb6c9.tmp
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'localhost':49192
- 'localhost':49194
- 'ke##uth.win':443
TCP
Другие
- 'localhost':49192
- 'localhost':49194
- 'localhost':49195
- 'ke##uth.win':443
- '34.##0.144.191':443
UDP
- DNS ASK ke##uth.win
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c color 0A
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "<Полный путь к файлу>" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "<Полный путь к файлу>" MD5
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
