Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-oi4b6.tmp\<Имя файла>.tmp
- %ProgramFiles(x86)%\latalib\pywin32_system32\is-a40g9.tmp
- %ProgramFiles(x86)%\latalib\phonon_backend\is-vnt6a.tmp
- %ProgramFiles(x86)%\latalib\phonon_backend\is-ctqhi.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-ervmf.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-i8tmn.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-7mr3d.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-fsjdj.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-1tvfs.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-5jngc.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-1m5du.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-uivfg.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-bk90s.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-7a6bj.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-7pvf6.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-4ugvi.tmp
- %ProgramFiles(x86)%\latalib\pywin32_system32\is-nr7dd.tmp
- %ProgramFiles(x86)%\latalib\shiboken2\is-j81n6.tmp
- %ProgramFiles(x86)%\latalib\shiboken2\is-2441e.tmp
- %ProgramFiles(x86)%\latalib\shiboken2\is-lthit.tmp
- %ProgramFiles(x86)%\latalib\unins000.dat
- %ProgramFiles(x86)%\latalib\is-26ciu.tmp
- %ProgramFiles(x86)%\latalib\win32com\shell\is-djhl3.tmp
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-3aenc.tmp
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-sm969.tmp
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-d1krh.tmp
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-1k13d.tmp
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-k7bu5.tmp
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-l7gnl.tmp
- %ProgramFiles(x86)%\latalib\websockets\is-i0ff9.tmp
- %ProgramFiles(x86)%\latalib\sqldrivers\is-jajac.tmp
- %ProgramFiles(x86)%\latalib\sqldrivers\is-v67j8.tmp
- %ProgramFiles(x86)%\latalib\sqldrivers\is-01qo8.tmp
- %ProgramFiles(x86)%\latalib\sqldrivers\is-vvpjg.tmp
- %ProgramFiles(x86)%\latalib\sqldrivers\is-oaiu7.tmp
- %ProgramFiles(x86)%\latalib\sqldrivers\is-c471d.tmp
- %ProgramFiles(x86)%\latalib\latalib.exe
- %ProgramFiles(x86)%\latalib\imageformats\is-enb4m.tmp
- %ProgramFiles(x86)%\latalib\imageformats\is-fbuqi.tmp
- %ProgramFiles(x86)%\latalib\certifi\is-dlra0.tmp
- %ProgramFiles(x86)%\latalib\is-osb9d.tmp
- %ProgramFiles(x86)%\latalib\is-1un4h.tmp
- %ProgramFiles(x86)%\latalib\is-435oq.tmp
- %ProgramFiles(x86)%\latalib\is-17h7h.tmp
- %ProgramFiles(x86)%\latalib\is-tb5hn.tmp
- %ProgramFiles(x86)%\latalib\is-n2s8d.tmp
- %ProgramFiles(x86)%\latalib\is-vrv30.tmp
- %ProgramFiles(x86)%\latalib\is-i6tmv.tmp
- %ProgramFiles(x86)%\latalib\is-3rifq.tmp
- %ProgramFiles(x86)%\latalib\is-nsrq7.tmp
- %TEMP%\is-hc4pi.tmp\_isetup\_iscrypt.dll
- %TEMP%\is-hc4pi.tmp\_isetup\_isdecmp.dll
- %TEMP%\is-hc4pi.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-hc4pi.tmp\_isetup\_setup64.tmp
- %TEMP%\is-hc4pi.tmp\_isetup\_regdll.tmp
- %ProgramFiles(x86)%\latalib\is-v6akt.tmp
- %ProgramFiles(x86)%\latalib\is-30kep.tmp
- %ProgramFiles(x86)%\latalib\is-smehc.tmp
- %ProgramFiles(x86)%\latalib\is-s864j.tmp
- %ProgramFiles(x86)%\latalib\is-ef3jh.tmp
- %ProgramFiles(x86)%\latalib\is-e4lup.tmp
- %ProgramFiles(x86)%\latalib\is-brkv2.tmp
- %ProgramFiles(x86)%\latalib\is-jeflp.tmp
- %ProgramFiles(x86)%\latalib\is-hdngp.tmp
- %ProgramFiles(x86)%\latalib\is-5jt3k.tmp
- %ProgramFiles(x86)%\latalib\is-hapj1.tmp
- %ProgramFiles(x86)%\latalib\is-gkfgh.tmp
- %ProgramFiles(x86)%\latalib\is-7coti.tmp
- %ProgramFiles(x86)%\latalib\is-tttc5.tmp
- %ProgramFiles(x86)%\latalib\is-ibbu5.tmp
- %ProgramFiles(x86)%\latalib\is-qisd6.tmp
- %ProgramFiles(x86)%\latalib\is-024l2.tmp
- %ProgramFiles(x86)%\latalib\is-jnq5m.tmp
- %ProgramFiles(x86)%\latalib\is-v0nsl.tmp
- %ProgramFiles(x86)%\latalib\is-l6e3t.tmp
- %ProgramFiles(x86)%\latalib\is-rjrai.tmp
- %TEMP%\license.txt
Перемещает следующие файлы
- %ProgramFiles(x86)%\latalib\is-nsrq7.tmp в %ProgramFiles(x86)%\latalib\unins000.exe
- %ProgramFiles(x86)%\latalib\imageformats\is-bk90s.tmp в %ProgramFiles(x86)%\latalib\imageformats\qjpegd4.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-uivfg.tmp в %ProgramFiles(x86)%\latalib\imageformats\qmng4.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-1m5du.tmp в %ProgramFiles(x86)%\latalib\imageformats\qmngd4.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-5jngc.tmp в %ProgramFiles(x86)%\latalib\imageformats\qsvg4.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-1tvfs.tmp в %ProgramFiles(x86)%\latalib\imageformats\qsvgd4.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-fsjdj.tmp в %ProgramFiles(x86)%\latalib\imageformats\qtga4.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-7mr3d.tmp в %ProgramFiles(x86)%\latalib\imageformats\qtgad4.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-i8tmn.tmp в %ProgramFiles(x86)%\latalib\imageformats\qtiff4.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-ervmf.tmp в %ProgramFiles(x86)%\latalib\imageformats\qtiffd4.dll
- %ProgramFiles(x86)%\latalib\phonon_backend\is-ctqhi.tmp в %ProgramFiles(x86)%\latalib\phonon_backend\phonon_ds94.dll
- %ProgramFiles(x86)%\latalib\phonon_backend\is-vnt6a.tmp в %ProgramFiles(x86)%\latalib\phonon_backend\phonon_ds9d4.dll
- %ProgramFiles(x86)%\latalib\pywin32_system32\is-a40g9.tmp в %ProgramFiles(x86)%\latalib\pywin32_system32\pythoncom38.dll
- %ProgramFiles(x86)%\latalib\pywin32_system32\is-nr7dd.tmp в %ProgramFiles(x86)%\latalib\pywin32_system32\pywintypes38.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-7pvf6.tmp в %ProgramFiles(x86)%\latalib\imageformats\qicod4.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-7a6bj.tmp в %ProgramFiles(x86)%\latalib\imageformats\qjpeg4.dll
- %ProgramFiles(x86)%\latalib\shiboken2\is-j81n6.tmp в %ProgramFiles(x86)%\latalib\shiboken2\msvcp140.dll
- %ProgramFiles(x86)%\latalib\shiboken2\is-2441e.tmp в %ProgramFiles(x86)%\latalib\shiboken2\shiboken2.abi3.dll
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-3aenc.tmp в %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\wheel
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-sm969.tmp в %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\top_level.txt
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-d1krh.tmp в %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\record
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-1k13d.tmp в %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\metadata
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-l7gnl.tmp в %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\license
- %ProgramFiles(x86)%\latalib\is-5jt3k.tmp в %ProgramFiles(x86)%\latalib\_overlapped.pyd
- %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\is-k7bu5.tmp в %ProgramFiles(x86)%\latalib\websockets-10.4.dist-info\installer
- %ProgramFiles(x86)%\latalib\sqldrivers\is-jajac.tmp в %ProgramFiles(x86)%\latalib\sqldrivers\qsqlpsqld4.dll
- %ProgramFiles(x86)%\latalib\sqldrivers\is-v67j8.tmp в %ProgramFiles(x86)%\latalib\sqldrivers\qsqlpsql4.dll
- %ProgramFiles(x86)%\latalib\sqldrivers\is-01qo8.tmp в %ProgramFiles(x86)%\latalib\sqldrivers\qsqlodbcd4.dll
- %ProgramFiles(x86)%\latalib\sqldrivers\is-vvpjg.tmp в %ProgramFiles(x86)%\latalib\sqldrivers\qsqlodbc4.dll
- %ProgramFiles(x86)%\latalib\sqldrivers\is-oaiu7.tmp в %ProgramFiles(x86)%\latalib\sqldrivers\qsqlited4.dll
- %ProgramFiles(x86)%\latalib\sqldrivers\is-c471d.tmp в %ProgramFiles(x86)%\latalib\sqldrivers\qsqlite4.dll
- %ProgramFiles(x86)%\latalib\shiboken2\is-lthit.tmp в %ProgramFiles(x86)%\latalib\shiboken2\shiboken2.pyd
- %ProgramFiles(x86)%\latalib\imageformats\is-4ugvi.tmp в %ProgramFiles(x86)%\latalib\imageformats\qico4.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-enb4m.tmp в %ProgramFiles(x86)%\latalib\imageformats\qgifd4.dll
- %ProgramFiles(x86)%\latalib\imageformats\is-fbuqi.tmp в %ProgramFiles(x86)%\latalib\imageformats\qgif4.dll
- %ProgramFiles(x86)%\latalib\is-i6tmv.tmp в %ProgramFiles(x86)%\latalib\libffi-7.dll
- %ProgramFiles(x86)%\latalib\is-vrv30.tmp в %ProgramFiles(x86)%\latalib\libssl-1_1.dll
- %ProgramFiles(x86)%\latalib\is-n2s8d.tmp в %ProgramFiles(x86)%\latalib\pyexpat.pyd
- %ProgramFiles(x86)%\latalib\is-tb5hn.tmp в %ProgramFiles(x86)%\latalib\python3.dll
- %ProgramFiles(x86)%\latalib\is-17h7h.tmp в %ProgramFiles(x86)%\latalib\pythoncom38.dll
- %ProgramFiles(x86)%\latalib\is-435oq.tmp в %ProgramFiles(x86)%\latalib\pywintypes38.dll
- %ProgramFiles(x86)%\latalib\is-1un4h.tmp в %ProgramFiles(x86)%\latalib\select.pyd
- %ProgramFiles(x86)%\latalib\is-osb9d.tmp в %ProgramFiles(x86)%\latalib\tagging.pyd
- %ProgramFiles(x86)%\latalib\is-v6akt.tmp в %ProgramFiles(x86)%\latalib\vcruntime140.dll
- %ProgramFiles(x86)%\latalib\is-30kep.tmp в %ProgramFiles(x86)%\latalib\win32api.pyd
- %ProgramFiles(x86)%\latalib\is-smehc.tmp в %ProgramFiles(x86)%\latalib\win32evtlog.pyd
- %ProgramFiles(x86)%\latalib\is-s864j.tmp в %ProgramFiles(x86)%\latalib\win32trace.pyd
- %ProgramFiles(x86)%\latalib\is-l6e3t.tmp в %ProgramFiles(x86)%\latalib\win32wnet.pyd
- %ProgramFiles(x86)%\latalib\is-v0nsl.tmp в %ProgramFiles(x86)%\latalib\_asyncio.pyd
- %ProgramFiles(x86)%\latalib\is-3rifq.tmp в %ProgramFiles(x86)%\latalib\lscol
- %ProgramFiles(x86)%\latalib\is-jnq5m.tmp в %ProgramFiles(x86)%\latalib\_brotli.cp38-win32.pyd
- %ProgramFiles(x86)%\latalib\certifi\is-dlra0.tmp в %ProgramFiles(x86)%\latalib\certifi\cacert.pem
- %ProgramFiles(x86)%\latalib\is-024l2.tmp в %ProgramFiles(x86)%\latalib\_bz2.pyd
- %ProgramFiles(x86)%\latalib\is-qisd6.tmp в %ProgramFiles(x86)%\latalib\_ctypes.pyd
- %ProgramFiles(x86)%\latalib\is-ibbu5.tmp в %ProgramFiles(x86)%\latalib\_decimal.pyd
- %ProgramFiles(x86)%\latalib\is-tttc5.tmp в %ProgramFiles(x86)%\latalib\_elementtree.pyd
- %ProgramFiles(x86)%\latalib\is-gkfgh.tmp в %ProgramFiles(x86)%\latalib\_hashlib.pyd
- %ProgramFiles(x86)%\latalib\is-7coti.tmp в %ProgramFiles(x86)%\latalib\_lzma.pyd
- %ProgramFiles(x86)%\latalib\websockets\is-i0ff9.tmp в %ProgramFiles(x86)%\latalib\websockets\speedups.cp38-win32.pyd
- %ProgramFiles(x86)%\latalib\is-hapj1.tmp в %ProgramFiles(x86)%\latalib\_multiprocessing.pyd
- %ProgramFiles(x86)%\latalib\win32com\shell\is-djhl3.tmp в %ProgramFiles(x86)%\latalib\win32com\shell\shell.pyd
- %ProgramFiles(x86)%\latalib\is-jeflp.tmp в %ProgramFiles(x86)%\latalib\_socket.pyd
- %ProgramFiles(x86)%\latalib\is-brkv2.tmp в %ProgramFiles(x86)%\latalib\_sqlite3.pyd
- %ProgramFiles(x86)%\latalib\is-e4lup.tmp в %ProgramFiles(x86)%\latalib\_ssl.pyd
- %ProgramFiles(x86)%\latalib\is-ef3jh.tmp в %ProgramFiles(x86)%\latalib\_testcapi.pyd
- %ProgramFiles(x86)%\latalib\is-rjrai.tmp в %ProgramFiles(x86)%\latalib\_win32sysloader.pyd
- %ProgramFiles(x86)%\latalib\is-hdngp.tmp в %ProgramFiles(x86)%\latalib\_queue.pyd
- %ProgramFiles(x86)%\latalib\is-26ciu.tmp в %ProgramFiles(x86)%\latalib\latalib.exe
Сетевая активность
Подключается к
- 'mi####njobs.works':80
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab?43######
Запросы HTTP POST
- http://mi####njobs.works/new/net_api
UDP
- DNS ASK mi####njobs.works
Другое
Ищет следующие окна
- ClassName: 'Tb592d_ll10304Class_Tb592d' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\is-oi4b6.tmp\<Имя файла>.tmp' /SL5="$A024C,8498929,68096,<Полный путь к файлу>"
- '%ProgramFiles(x86)%\latalib\latalib.exe'
- '%ProgramFiles(x86)%\latalib\latalib.exe' 3637ebeeb78052d56cf76e09caa80f93
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Delete /F /TN "LL1030-4"
- '%WINDIR%\syswow64\schtasks.exe' /Query
