Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\patchuploadzl.lnk
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\polydactyl_20231224184342.cleanroom.log
- %WINDIR%\temp\{3cb5be09-2a31-431a-acb4-eeff3776c9f7}\.cr\<Имя файла>.exe
- %WINDIR%\temp\{0a193e72-ba00-402c-8597-f1a5f3bf20e7}\.ba\periwig.dll
- %WINDIR%\temp\{0a193e72-ba00-402c-8597-f1a5f3bf20e7}\.ba\babylon.exe
- %WINDIR%\temp\{0a193e72-ba00-402c-8597-f1a5f3bf20e7}\.ba\babyservices.dll
- %WINDIR%\temp\{0a193e72-ba00-402c-8597-f1a5f3bf20e7}\.ba\bexception.dll
- %WINDIR%\temp\{0a193e72-ba00-402c-8597-f1a5f3bf20e7}\.ba\erbium.yml
- %WINDIR%\temp\{0a193e72-ba00-402c-8597-f1a5f3bf20e7}\.ba\bootstrapperapplicationdata.xml
- %WINDIR%\temp\{0a193e72-ba00-402c-8597-f1a5f3bf20e7}\.ba\bundleextensiondata.xml
- %TEMP%\polydactyl_20231224184343.log
- %LOCALAPPDATA%\cjhelp2\babylon.exe
- %LOCALAPPDATA%\cjhelp2\babyservices.dll
- %LOCALAPPDATA%\cjhelp2\bexception.dll
- %LOCALAPPDATA%\cjhelp2\erbium.yml
- %TEMP%\fmsyqd
Удаляет следующие файлы
- %WINDIR%\temp\{3cb5be09-2a31-431a-acb4-eeff3776c9f7}\.cr\<Имя файла>.exe
Сетевая активность
Подключается к
- 'cl###back.shop':2020
UDP
- DNS ASK cl###back.shop
Другое
Создает и запускает на исполнение
- '%WINDIR%\temp\{3cb5be09-2a31-431a-acb4-eeff3776c9f7}\.cr\<Имя файла>.exe' -burn.clean.room="<Полный путь к файлу>" -burn.filehandle.attached=216 -burn.filehandle.self=212
- '%WINDIR%\temp\{0a193e72-ba00-402c-8597-f1a5f3bf20e7}\.ba\babylon.exe'
- '%LOCALAPPDATA%\cjhelp2\babylon.exe'
