Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\fiyizaurdjzvyqz
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\output.vbe
- %APPDATA%\fiyizaurdjzvyqz.vbs
- %TEMP%\outofprocreport740708.txt
- %TEMP%\outofprocreport757251.txt
- %TEMP%\outofprocreport770402.txt
- %TEMP%\outofprocreport789864.txt
Сетевая активность
Подключается к
- '14#.#1.79.54':80
TCP
Запросы HTTP GET
- http://14#.#1.79.54/1210/s
- http://14#.#1.79.54/1210/r
- http://14#.#1.79.54/1210/b9UOAokMPDan1gmmRxuo.txt
- http://14#.#1.79.54/1210/v
- http://14#.#1.79.54/1210/file
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%ALLUSERSPROFILE%\output.vbe"
- '<SYSTEM32>\wscript.exe' "%APPDATA%\fIYIzAURdJzVyqz.vbs"
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {71436B89-98DB-4FBF-84C6-9300D1C45244} S-1-5-21-3691498038-2086406363-2140527554-1000:ltoghy\user:Interactive:[1]
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' (со скрытым окном)
- '<SYSTEM32>\wermgr.exe' "-outproc" "1224" "1236"
- '<SYSTEM32>\wermgr.exe' "-outproc" "2004" "1236"
- '<SYSTEM32>\wermgr.exe' "-outproc" "2520" "1232"
- '<SYSTEM32>\wermgr.exe' "-outproc" "2440" "1236"
- '<SYSTEM32>\wermgr.exe' "-outproc" "2992" "1236"
- '<SYSTEM32>\wermgr.exe' "-outproc" "2912" "1236"
- '<SYSTEM32>\wscript.exe' "%APPDATA%\fIYIzAURdJzVyqz.vbs" (со скрытым окном)
