Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\kartanka.jpg
- %TEMP%\rarsfx0\virus.exe
- %TEMP%\jgsm0ptn.0.cs
- %TEMP%\jgsm0ptn.cmdline
- %TEMP%\jgsm0ptn.out
- %TEMP%\csc6103.tmp
- %TEMP%\res6104.tmp
- %TEMP%\jgsm0ptn.dll
Удаляет следующие файлы
- %TEMP%\res6104.tmp
- %TEMP%\csc6103.tmp
- %TEMP%\jgsm0ptn.dll
- %TEMP%\jgsm0ptn.0.cs
- %TEMP%\jgsm0ptn.cmdline
- %TEMP%\jgsm0ptn.out
Сетевая активность
Подключается к
- 'ip##pi.com':80
TCP
Запросы HTTP GET
- http://ip##pi.com/json/?fi##########
UDP
- DNS ASK ip##pi.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\virus.exe'
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\jgsm0ptn.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6104.tmp" "%TEMP%\CSC6103.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\jgsm0ptn.cmdline"
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6104.tmp" "%TEMP%\CSC6103.tmp"
