Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-j8jki.tmp\is-d4adn.tmp
- %TEMP%\is-ocnm1.tmp\_isetup\_setup64.tmp
- %TEMP%\is-ocnm1.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-ocnm1.tmp\_isdecmp.dll
- %TEMP%\is-ocnm1.tmp\_iscrypt.dll
- %LOCALAPPDATA%\ado video tools 2019.03\is-8lqm9.tmp
- %LOCALAPPDATA%\ado video tools 2019.03\is-6c70p.tmp
- %LOCALAPPDATA%\ado video tools 2019.03\is-ipv3i.tmp
- %LOCALAPPDATA%\ado video tools 2019.03\unins000.dat
- %LOCALAPPDATA%\ado video tools 2019.03\adovideotools1117.exe
Перемещает следующие файлы
- %LOCALAPPDATA%\ado video tools 2019.03\is-8lqm9.tmp в %LOCALAPPDATA%\ado video tools 2019.03\unins000.exe
- %LOCALAPPDATA%\ado video tools 2019.03\is-6c70p.tmp в %LOCALAPPDATA%\ado video tools 2019.03\sqlite3.dll
- %LOCALAPPDATA%\ado video tools 2019.03\is-ipv3i.tmp в %LOCALAPPDATA%\ado video tools 2019.03\adovideotools1117.exe
Сетевая активность
Подключается к
- 'st###7345724.ru':80
TCP
Запросы HTTP POST
- http://st###7345724.ru/new/net_api
UDP
- DNS ASK st###7345724.ru
Другое
Ищет следующие окна
- ClassName: 'D%x_adovt_11173ca7e9d' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\is-j8jki.tmp\is-d4adn.tmp' /SL4 $5024A "<Полный путь к файлу>" 5086541 52224
- '%LOCALAPPDATA%\ado video tools 2019.03\adovideotools1117.exe' 40e351f040625c6d41c6d2a62c869355
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Delete /F /TN "ado_video_tools_11173"
