Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\defaults\azuresdkservice_user
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\costura\45ba9d5a2b3e7cbbd5fb134963cb1db7\costura.dll
- %TEMP%\costura\45ba9d5a2b3e7cbbd5fb134963cb1db7\datalaunch.dll
- %TEMP%\costura\45ba9d5a2b3e7cbbd5fb134963cb1db7\datalaunch.pdb
- %TEMP%\costura\45ba9d5a2b3e7cbbd5fb134963cb1db7\qrcoder.dll
- %TEMP%\netplatform\windowslauncher.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'do##kan.ru':80
TCP
Запросы HTTP GET
- http://do##kan.ru/dataCenter
UDP
- DNS ASK do##kan.ru
Другое
Создает и запускает на исполнение
- '%TEMP%\netplatform\windowslauncher.exe'
- '%TEMP%\netplatform\windowslauncher.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C schtasks /create /tn \Defaults\AzureSDKService_user /tr "%TEMP%\NetPlatform\WindowsLauncher.exe" /st 16:56 /du 9999:59 /sc daily /ri 1 /f
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del "<Полный путь к файлу>"
- '<SYSTEM32>\schtasks.exe' /create /tn \Defaults\AzureSDKService_user /tr "%TEMP%\NetPlatform\WindowsLauncher.exe" /st 16:56 /du 9999:59 /sc daily /ri 1 /f
- '<SYSTEM32>\choice.exe' /C Y /N /D Y /T 3
- '<SYSTEM32>\taskeng.exe' {15FF4D7D-E311-4BEC-B7A5-FFCC6AFE7FD2} S-1-5-21-3150914307-1777937420-491476919-1000:dyusitwe\user:Interactive:[1]
