Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\53791476081797998277448477-shm
- %ALLUSERSPROFILE%\65173064254265825845718889-shm
- %ALLUSERSPROFILE%\52946784764701585657889239-shm
- %ALLUSERSPROFILE%\48853273695832851379365710-shm
- %ALLUSERSPROFILE%\56946819235326007765719752-shm
- %ALLUSERSPROFILE%\91509669563432611532018377-shm
Удаляет следующие файлы
- %ALLUSERSPROFILE%\53791476081797998277448477-shm
- %ALLUSERSPROFILE%\65173064254265825845718889-shm
- %ALLUSERSPROFILE%\52946784764701585657889239-shm
- %ALLUSERSPROFILE%\48853273695832851379365710-shm
- %ALLUSERSPROFILE%\56946819235326007765719752-shm
- %ALLUSERSPROFILE%\91509669563432611532018377-shm
Самоудаляется.
Сетевая активность
Подключается к
- 't.#e':443
- 'st####ommunity.com':443
- '19#.#01.121.147':80
TCP
Запросы HTTP GET
- http://19#.#01.121.147/50ea0affb2baa8962785abe57aad3f06
- http://19#.#01.121.147/htdocs.zip
Другие
- 't.#e':443
- 'st####ommunity.com':443
UDP
- DNS ASK t.#e
- DNS ASK st####ommunity.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout /t 6 & del /f /q "<Полный путь к файлу>" & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout /t 6 & del /f /q "<Полный путь к файлу>" & exit
- '%WINDIR%\syswow64\timeout.exe' /t 6
