Техническая информация
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\7b4c2f1b73d6ff
- <Текущая директория>\explorer.exe
- <Текущая директория>\7a0fd90576e088
- %ProgramFiles(x86)%\reference assemblies\microsoft\wudfhost.exe
- %ProgramFiles(x86)%\reference assemblies\microsoft\480b7989c529f6
- %ProgramFiles%\uninstall information\services.exe
- %ProgramFiles%\uninstall information\c5b4cb5e9653cc
- %WINDIR%\softwaredistribution\authcabs\audiodg.exe
- %WINDIR%\softwaredistribution\authcabs\42af1c969fbb7b
- C:\kms\lsm.exe
- C:\kms\101b941d020240
- %TEMP%\xxcnkkjkws
- %TEMP%\dtm6bap0re.bat
- nul
- %HOMEPATH%\desktop\jelcwjsm.log
- %HOMEPATH%\desktop\zimzawgr.log
Удаляет следующие файлы
- %TEMP%\xxcnkkjkws
Сетевая активность
Подключается к
- '56#####m.nyashmyash.top':80
TCP
Запросы HTTP POST
- http://56#####m.nyashmyash.top/PhpSqlWindows.php
UDP
- DNS ASK 56#####m.nyashmyash.top
- 'localhost':123
Другое
Создает и запускает на исполнение
- 'C:\kms\lsm.exe'
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\Dtm6bAP0RE.bat"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\Dtm6bAP0RE.bat"
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\w32tm.exe' /stripchart /computer:localhost /period:5 /dataonly /samples:2
