Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- C:\users\public\xx2\black.lnk
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\program files (x86)\233.exe
- C:\users\public\oks\windows.lnk
- C:\users\public\xx2\black.lnk
- C:\users\public\program files (x86)\svchost.exe
- C:\users\public\program files (x86)\tpthumbplayer.dll
- C:\users\public\program files (x86)\config.ini
- C:\users\public\test.txt
- C:\users\public\xx2\white.lnk
Подменяет следующие файлы
- C:\users\public\xx2\black.lnk
Сетевая активность
Подключается к
- 'be############879887.cos.accelerate.myqcloud.com':80
TCP
Запросы HTTP GET
- http://be############879887.cos.accelerate.myqcloud.com/White/www3.exe
- http://be############879887.cos.accelerate.myqcloud.com/White/koko3.jpg
- http://be############879887.cos.accelerate.myqcloud.com/White/sc.bin
- http://be############879887.cos.accelerate.myqcloud.com/rdx1.txt
UDP
- DNS ASK be############879887.cos.accelerate.myqcloud.com
Другое
Создает и запускает на исполнение
- 'C:\users\public\program files (x86)\233.exe' /p <SYSTEM32> /m notepad.exe /c "cmd.exe /c move /y C:\Users\Public\xx2\Black.lnk \"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\1.lnk\""
Запускает на исполнение
- '%WINDIR%\explorer.exe' C:\Users\Public\oks
- '%WINDIR%\syswow64\cmd.exe' move /y C:\Users\Public\xx2\Black.lnk "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\1.lnk"
- '%WINDIR%\explorer.exe' C:\Users\Public\xx2
