Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nafifas
- <SYSTEM32>\tasks\agp service
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\phots\phots.exe
- %APPDATA%\d4602615-9d50-4880-be41-678935e93eaa\run.dat
- %TEMP%\tmp25f7.tmp
- %APPDATA%\d4602615-9d50-4880-be41-678935e93eaa\task.dat
Удаляет следующие файлы
- %TEMP%\tmp25f7.tmp
Сетевая активность
Подключается к
- 'ca#######a.freedynamicdns.org':6609
TCP
Другие
- 'ca#######a.freedynamicdns.org':6609
UDP
- DNS ASK ca#######a.freedynamicdns.org
Другое
Создает и запускает на исполнение
- '%TEMP%\phots\phots.exe'
- '%TEMP%\phots\phots.exe' ' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c mkdir "%TEMP%\Phots"
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /sc minute /mo 1 /tn "Nafifas" /tr "'%TEMP%\Phots\Phots.exe'" /f
- '%WINDIR%\syswow64\cmd.exe' /c copy "<Полный путь к файлу>" "%TEMP%\Phots\Phots.exe"
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 1 /tn "Nafifas" /tr "'%TEMP%\Phots\Phots.exe'" /f
- '%WINDIR%\syswow64\schtasks.exe' /create /f /tn "AGP Service" /xml "%TEMP%\tmp25F7.tmp"
- '<SYSTEM32>\taskeng.exe' {09DC255E-692D-45E4-A3BD-822317AC5A6E} S-1-5-21-1238866942-1249195528-555854008-1000:hvtzgryo\user:Interactive:[1]
- '%WINDIR%\syswow64\cmd.exe' /c copy "%TEMP%\Phots\Phots.exe" "%TEMP%\Phots\Phots.exe"
