Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\limerat-admin
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\secured.exe
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Сетевая активность
Подключается к
- 'pa###bin.com':443
- 'pk#.goog':80
- '19#.#61.193.99':40760
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'pa###bin.com':443
UDP
- DNS ASK pa###bin.com
- DNS ASK pk#.goog
Другое
Создает и запускает на исполнение
- '%TEMP%\secured.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr "'%TEMP%\secured.exe'" (со скрытым окном)
