Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cab63a2.tmp
- %WINDIR%\temp\tar63b3.tmp
- %WINDIR%\temp\cab94b2.tmp
- %WINDIR%\temp\tar94c3.tmp
- %WINDIR%\temp\cab96e6.tmp
- %WINDIR%\temp\tar96e7.tmp
- %WINDIR%\temp\cabc6be.tmp
- %WINDIR%\temp\tarc6bf.tmp
- %WINDIR%\temp\cabc9ad.tmp
- %WINDIR%\temp\tarc9bd.tmp
- %WINDIR%\temp\cabca79.tmp
- %WINDIR%\temp\tarca8a.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cab63a2.tmp
- %WINDIR%\temp\tar63b3.tmp
- %WINDIR%\temp\cab94b2.tmp
- %WINDIR%\temp\tar94c3.tmp
- %WINDIR%\temp\cab96e6.tmp
- %WINDIR%\temp\tar96e7.tmp
- %WINDIR%\temp\cabc6be.tmp
- %WINDIR%\temp\tarc6bf.tmp
- %WINDIR%\temp\cabc9ad.tmp
- %WINDIR%\temp\tarc9bd.tmp
- %WINDIR%\temp\cabca79.tmp
- %WINDIR%\temp\tarca8a.tmp
Самоперемещается
- из <Полный путь к файлу> в <Текущая директория>\svarxhhxpl.exe
Сетевая активность
Подключается к
- 'localhost':49185
- 'localhost':49187
- 'ke##uth.win':443
TCP
Другие
- 'localhost':49185
- 'localhost':49187
- 'localhost':49188
- 'ke##uth.win':443
UDP
- DNS ASK ke##uth.win
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'dtcdbgthr'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "<Полный путь к файлу>" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "<Полный путь к файлу>" MD5
- '<SYSTEM32>\find.exe' /i /v "certutil"
- '<SYSTEM32>\find.exe' /i /v "md5"
