Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\organize stay scheduling business our maximum system
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\videos\vjwqvl\cn7kc9.exe
- C:\users\public\videos\vjwqvl\mscoree.dll
- C:\users\public\videos\vjwqvl\ffff.pol
- C:\users\public\videos\vjwqvl\ffff.lop
- C:\users\public\videos\6jd2s6j\3cp9yk.exe
- C:\users\public\videos\6jd2s6j\mscoree.dll
- C:\users\public\videos\6jd2s6j\ffff.pol
- C:\users\public\videos\6jd2s6j\ffff.lop
- C:\xxxx.ini
Сетевая активность
Подключается к
- 'os###.####cn-hangzhou.aliyuncs.com':443
- '47.##.172.225':7000
TCP
Другие
- 'os###.####cn-hangzhou.aliyuncs.com':443
UDP
- DNS ASK os###.####cn-hangzhou.aliyuncs.com
- DNS ASK ra##wx.net
Другое
Ищет следующие окна
- ClassName: '' WindowName: '360°²È«ÎÀÊ¿Beta°æ'
- ClassName: '' WindowName: '360Îļþ½âËø'
- ClassName: '' WindowName: 'ÈÎÎñ¼Æ»®'
- ClassName: '' WindowName: '360ÈÎÎñ¹ÜÀГÆ÷'
- ClassName: '' WindowName: 'Îļþ·ÛËé»ú'
- ClassName: '' WindowName: 'ÈÎÎñ¼Æ»®³ÌÐò'
Создает и запускает на исполнение
- 'C:\users\public\videos\vjwqvl\cn7kc9.exe'
- 'C:\users\public\videos\vjwqvl\cn7kc9.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo.>c:\xxxx.ini' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c echo.>c:\xxxx.ini
