Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\1.txt
- %WINDIR%\runn\windowstask.exe
- %WINDIR%\runn\duilib_u.dll
- %WINDIR%\runn\sqlite3.dll
- %WINDIR%\runn\yloux.exe
- %WINDIR%\runn\1.bin
- %LOCALAPPDATA%\{eee3c048-d5b0-49b4-ac62-4d52aa465dbb}\windowstask.lnk
- %TEMP%\{7d370bb1-69ee-478e-b115-1223bbee58ad}.exe
- %TEMP%\{efb705cb-4228-42ce-b36c-2c4501d5f815}
- %TEMP%\hi-013{d347b19d-8a74-43fc-b743-fe883694a5a3}\{d3e8dded-0641-42f4-b5c3-06a62b0b030b}.lnk
- %ALLUSERSPROFILE%\quickscreenshot\20231021\20231021110334.jpg
- %TEMP%\regworkshop.ini
- %ALLUSERSPROFILE%\quickscreenshot\20231021\20231021110434.jpg
Удаляет следующие файлы
- %TEMP%\hi-013{d347b19d-8a74-43fc-b743-fe883694a5a3}\{d3e8dded-0641-42f4-b5c3-06a62b0b030b}.lnk
- %TEMP%\{7d370bb1-69ee-478e-b115-1223bbee58ad}.exe
- %TEMP%\{efb705cb-4228-42ce-b36c-2c4501d5f815}
Сетевая активность
Подключается к
- '38.##.104.26':56321
- '38.##.110.25':56321
- '45.##4.83.222':2023
TCP
Запросы HTTP GET
- http://38.##.104.26:56321/1.txt via 38.##.104.26
- http://38.##.110.25:56321/32ewd32er2dw.exe via 38.##.110.25
Другие
- '45.##4.83.222':2023
Другое
Создает и запускает на исполнение
- '%WINDIR%\runn\yloux.exe'
- '%TEMP%\{7d370bb1-69ee-478e-b115-1223bbee58ad}.exe' /s "%TEMP%\\{EFB705CB-4228-42ce-B36C-2C4501D5F815}"
- '%WINDIR%\runn\yloux.exe' ' (со скрытым окном)
