Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\mjrtexpmlwgnbtg
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\restored.vbe
- %APPDATA%\mjrtexpmlwgnbtg.vbs
- %TEMP%\outofprocreport837418.txt
- %TEMP%\outofprocreport848925.txt
- %TEMP%\outofprocreport864159.txt
- %TEMP%\outofprocreport877608.txt
Сетевая активность
Подключается к
- '14#.#1.79.54':80
TCP
Запросы HTTP GET
- http://14#.#1.79.54/1210/s
- http://14#.#1.79.54/1210/r
- http://14#.#1.79.54/1210/22a2h1XGeeTM0V50LuCY.txt
- http://14#.#1.79.54/1210/v
- http://14#.#1.79.54/1210/file
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%ALLUSERSPROFILE%\restored.vbe"
- '<SYSTEM32>\wscript.exe' "%APPDATA%\MjRtEXpmLwgnbtg.vbs"
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {189A2EB6-D7F3-4493-8F7B-39419820FF6C} S-1-5-21-3691498038-2086406363-2140527554-1000:fhthhmmusih\user:Interactive:[1]
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' (со скрытым окном)
- '<SYSTEM32>\wermgr.exe' "-outproc" "1816" "1232"
- '<SYSTEM32>\wermgr.exe' "-outproc" "1044" "1232"
- '<SYSTEM32>\wermgr.exe' "-outproc" "496" "1232"
- '<SYSTEM32>\wermgr.exe' "-outproc" "2456" "1232"
- '<SYSTEM32>\wermgr.exe' "-outproc" "1876" "1240"
- '<SYSTEM32>\wermgr.exe' "-outproc" "2116" "1236"
- '<SYSTEM32>\wscript.exe' "%APPDATA%\MjRtEXpmLwgnbtg.vbs" (со скрытым окном)
