Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\software'saproductivityaanda
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\balnfcerx\onp9eb8vu.exe
- %ALLUSERSPROFILE%\balnfcerx\onp9eb8vu.dat
- %ALLUSERSPROFILE%\balnfcerx\edge.xml
- %ALLUSERSPROFILE%\balnfcerx\edge.jpg
- %TEMP%\_ir_tu2_temp_0\irimg1.jpg
- %TEMP%\_ir_tu2_temp_0\irimg2.jpg
- %TEMP%\_ir_tu2_temp_0\irimg3.jpg
- %TEMP%\_ir_tu2_temp_0\irimg4.jpg
- %TEMP%\_ir_tu2_temp_0\_tuprojdt.dat
- %TEMP%\xshell 6 update log.txt
- %ALLUSERSPROFILE%\balnfcerx\nxif3eq.exe
- %ALLUSERSPROFILE%\balnfcerx\nxif3eq.dat
- C:\xxxx.ini
Сетевая активность
Подключается к
- '8.###.207.163':7800
- '8.###.207.163':7000
TCP
Запросы HTTP GET
- http://8.###.207.163:7800/qq-1 via 8.###.207.163
- http://8.###.207.163:7800/1 via 8.###.207.163
- http://8.###.207.163:7800/2 via 8.###.207.163
- http://8.###.207.163:7800/3 via 8.###.207.163
- http://8.###.207.163:7800/4 via 8.###.207.163
Другие
- '8.###.207.163':7000
UDP
- DNS ASK iu##iu.net
Другое
Ищет следующие окна
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\balnfcerx\onp9eb8vu.exe'
- '%ALLUSERSPROFILE%\balnfcerx\onp9eb8vu.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo.>c:\xxxx.ini' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c echo.>c:\xxxx.ini
