Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\pjevzdhcuulpzchtywsimulmzxjebkmbuusoslpoxmwrdpjjsitynhnlcvolbjivzoxcnlpfjcxoinuntumgzxgkxlggtbmabia
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\sxgikdhicymyvsatwcyc.exe
- C:\users\default\appdata\roaming\mzlchxeazzceaduukmyrrtejqsmkcpsjzkkvyzlpvwigdckisfdtwmwmzlhqewcaahcswsqlpvvwbjhbaiwgqpixjumingkvaus.cmd
- C:\users\default\appdata\local\libxscore.bundle
- nul
Удаляет следующие файлы
- <SYSTEM32>\tasks\pjevzdhcuulpzchtywsimulmzxjebkmbuusoslpoxmwrdpjjsitynhnlcvolbjivzoxcnlpfjcxoinuntumgzxgkxlggtbmabia
Сетевая активность
Подключается к
- '60.##5.128.71':8080
TCP
Другие
- '60.##5.128.71':8080
Другое
Создает и запускает на исполнение
- 'C:\users\public\documents\sxgikdhicymyvsatwcyc.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c C:\\Users\\Default\\AppData\\Roaming\\MzlchxeAZZCEaDuUKmYRRTEjqSMKCPSjzkKvyZLPvwIGDckIsfdtwMWmZlHqeWCAAHCsWSQlpvvwbJHBaiwGQPiXJumiNGkvAuS.cmd (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c tasklist.exe | find /I "SXGIkdHiCymYVsAtwcYC.exe"
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\find.exe' /I "SXGIkdHiCymYVsAtwcYC.exe"
- '%WINDIR%\syswow64\choice.exe' /t 5 /d y /n
