Техническая информация
Изменения в файловой системе
Создает следующие файлы
- C:\serverfontwinrefbroker\savesbroker.exe
- C:\serverfontwinrefbroker\rhnegs3hl6owiwvse2emq3a18eiysw10llybyllnpisnfrjxmp2wla.vbe
- C:\serverfontwinrefbroker\l9wvng.bat
- %ProgramFiles(x86)%\windows sidebar\en-us\sppsvc.exe
- %ProgramFiles(x86)%\windows sidebar\en-us\0a1fd5f707cd16
- C:\msocache\all users\wininit.exe
- C:\msocache\all users\56085415360792
- %ProgramFiles%\java\jre1.8.0_45\lib\ext\dwm.exe
- %ProgramFiles%\java\jre1.8.0_45\lib\ext\6cb0b6c459d5d3
- %ProgramFiles(x86)%\reference assemblies\microsoft\firefox.exe
- %ProgramFiles(x86)%\reference assemblies\microsoft\0fc223bdacedc3
- C:\recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\iexplore.exe
- C:\recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\9db6e019d4f04e
- %TEMP%\jcvgoqfrv5
- %TEMP%\lfhhhsevwb.bat
- nul
Удаляет следующие файлы
- %TEMP%\jcvgoqfrv5
Сетевая активность
Подключается к
- '21#.#09.221.153':80
TCP
Запросы HTTP POST
- http://21#.#09.221.153/php/PythonvoiddbpipeAsync/Voiddb/datalifeflowerDatalife0/To5/DlebaseDefault/video5/javascript/8centralImage/Voiddb/pollProcessprotectsqltrackTempcdn.php
Другие
- '34.##9.100.209':443
UDP
- 'localhost':123
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "C:\ServerfontWinRefBroker\RhNeGS3hl6OwiwVsE2eMq3A18EIYSW10LlYbyLLNPISnfrJXMP2wLa.vbe"
- 'C:\serverfontwinrefbroker\savesbroker.exe'
- '%ProgramFiles(x86)%\reference assemblies\microsoft\firefox.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\ServerfontWinRefBroker\L9wvNG.bat" " (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\lFHhHSeVwb.bat" (со скрытым окном)
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\w32tm.exe' /stripchart /computer:localhost /period:5 /dataonly /samples:2
