Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\1.txt
- %WINDIR%\runn\windowstask.exe
- %WINDIR%\runn\duilib_u.dll
- %WINDIR%\runn\sqlite3.dll
- %WINDIR%\runn\yloux.exe
- %WINDIR%\runn\1.bin
- %LOCALAPPDATA%\{342e6bfc-8110-4a91-a866-d8f9bd62e90f}\windowstask.lnk
- %TEMP%\{cc5b1e5b-4977-4381-b5b6-82d163920167}.exe
- %TEMP%\{1e6b3691-ce6e-40a1-8613-733ba88423b6}
- %TEMP%\hi-013{5f1ea34b-0adb-4817-9032-8aa8aa93bc7f}\{78b24643-c7fb-4319-8ac2-ec52c0974dbd}.lnk
- %TEMP%\regworkshop.ini
- %ALLUSERSPROFILE%\quickscreenshot\20231021\20231021113924.jpg
- %ALLUSERSPROFILE%\quickscreenshot\20231021\20231021114024.jpg
Удаляет следующие файлы
- %TEMP%\hi-013{5f1ea34b-0adb-4817-9032-8aa8aa93bc7f}\{78b24643-c7fb-4319-8ac2-ec52c0974dbd}.lnk
- %TEMP%\{cc5b1e5b-4977-4381-b5b6-82d163920167}.exe
- %TEMP%\{1e6b3691-ce6e-40a1-8613-733ba88423b6}
Сетевая активность
Подключается к
- '38.##.104.26':56321
- '38.##.110.25':56321
- '45.##4.83.222':2023
TCP
Запросы HTTP GET
- http://38.##.104.26:56321/1.txt via 38.##.104.26
- http://38.##.110.25:56321/32ewd32er2dw.exe via 38.##.110.25
Другие
- '45.##4.83.222':2023
Другое
Создает и запускает на исполнение
- '%WINDIR%\runn\yloux.exe'
- '%TEMP%\{cc5b1e5b-4977-4381-b5b6-82d163920167}.exe' /s "%TEMP%\\{1E6B3691-CE6E-40a1-8613-733BA88423B6}"
- '%WINDIR%\runn\yloux.exe' ' (со скрытым окном)
