Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\plans elevate plan
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\videos\x6pvfk\0bejn9.exe
- C:\users\public\videos\x6pvfk\mscoree.dll
- C:\users\public\videos\x6pvfk\ffff.pol
- C:\users\public\videos\x6pvfk\ffff.lop
- C:\users\public\videos\b78bi91\oxb0.exe
- C:\users\public\videos\b78bi91\mscoree.dll
- C:\users\public\videos\b78bi91\ffff.pol
- C:\users\public\videos\b78bi91\ffff.lop
- C:\xxxx.ini
Сетевая активность
Подключается к
- 'os###.####cn-hangzhou.aliyuncs.com':443
- '47.##.172.225':7000
TCP
Другие
- 'os###.####cn-hangzhou.aliyuncs.com':443
UDP
- DNS ASK os###.####cn-hangzhou.aliyuncs.com
- DNS ASK ra##wx.net
Другое
Ищет следующие окна
- ClassName: '' WindowName: '360°²È«ÎÀÊ¿Beta°æ'
- ClassName: '' WindowName: '360Îļþ½âËø'
- ClassName: '' WindowName: 'ÈÎÎñ¼Æ»®'
- ClassName: '' WindowName: '360ÈÎÎñ¹ÜÀГÆ÷'
- ClassName: '' WindowName: 'Îļþ·ÛËé»ú'
- ClassName: '' WindowName: 'ÈÎÎñ¼Æ»®³ÌÐò'
Создает и запускает на исполнение
- 'C:\users\public\videos\x6pvfk\0bejn9.exe'
- 'C:\users\public\videos\x6pvfk\0bejn9.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo.>c:\xxxx.ini' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c echo.>c:\xxxx.ini
