Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\powerful management deadlines
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\videos\gzj3namy\tka8maf0.exe
- C:\users\public\videos\gzj3namy\tka8maf0.dat
- C:\users\public\videos\gzj3namy\edge.xml
- C:\users\public\videos\gzj3namy\edge.jpg
- %TEMP%\_ir_tu2_temp_0\_tuprojdt.dat
- %TEMP%\_ir_tu2_temp_0\irimg1.jpg
- %TEMP%\_ir_tu2_temp_0\irimg2.jpg
- %TEMP%\_ir_tu2_temp_0\irimg3.jpg
- %TEMP%\_ir_tu2_temp_0\irimg4.jpg
- %TEMP%\xshell 6 update log.txt
- C:\users\public\videos\gzj3namy\j2by.exe
- C:\users\public\videos\gzj3namy\j2by.dat
- C:\xxxx.ini
Сетевая активность
Подключается к
- '27.#24.6.64':8000
- 'localhost':7700
- '27.#24.6.64':7700
TCP
Запросы HTTP GET
- http://27.###.6.64:8000/h-1 via 27.#24.6.64
- http://27.###.6.64:8000/1 via 27.#24.6.64
- http://27.###.6.64:8000/2 via 27.#24.6.64
- http://27.###.6.64:8000/3 via 27.#24.6.64
- http://27.###.6.64:8000/4 via 27.#24.6.64
Другие
- '27.#24.6.64':7700
UDP
- DNS ASK fu##eti.net
Другое
Ищет следующие окна
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- 'C:\users\public\videos\gzj3namy\tka8maf0.exe'
- 'C:\users\public\videos\gzj3namy\tka8maf0.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo.>c:\xxxx.ini' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c echo.>c:\xxxx.ini
