Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\atczrfsn.0.cs
- %TEMP%\atczrfsn.cmdline
- %TEMP%\atczrfsn.out
- %TEMP%\csc79d0.tmp
- %TEMP%\res7a6d.tmp
- %TEMP%\atczrfsn.dll
Удаляет следующие файлы
- %TEMP%\res7a6d.tmp
- %TEMP%\csc79d0.tmp
- %TEMP%\atczrfsn.dll
- %TEMP%\atczrfsn.out
- %TEMP%\atczrfsn.pdb
- %TEMP%\atczrfsn.cmdline
- %TEMP%\atczrfsn.0.cs
Сетевая активность
Подключается к
- '13#.#84.102.100':80
TCP
Другие
- '34.##9.100.209':443
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' "/C poWErShEll -EX bYpAss -NOp -w ... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EX bYpAss -NOp -w 1 -c ...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\atczrfsn.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES7A6D.tmp" "%TEMP%\CSC79D0.tmp" (со скрытым окном)
