Техническая информация
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\screen.exe
- <Текущая директория>\海南机场安全风险分级管控和隐患排查治理双重预防工作机制实施细则制度宣贯.docx
- <Текущая директория>\reader.bat
- %TEMP%\csrse.exe.config
- %TEMP%\csrse.exe
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\config14[1].txt
Перемещает следующие файлы
- <Текущая директория>\screen.exe в %TEMP%\screen.exe
Самоудаляется.
Сетевая активность
Подключается к
- '15#.#23.21.165':443
TCP
Другие
- '15#.#23.21.165':443
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\screen.exe'
- '%TEMP%\csrse.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\Reader.bat" "
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "<Текущая директория>\海南机场安全风险分级管控和隐患排查治理双重预防工作机制实施细则制度宣贯.docx"
- '%WINDIR%\syswow64\mshta.exe' vbscript:createobject("wscript.shell").run("""<Текущая директория>\Reader.bat"" hide",0)(window.close)
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\Reader.bat" hide" (со скрытым окном)
