Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\pla\system\wudfhost.exe
- %WINDIR%\pla\system\480b7989c529f6
- %ProgramFiles(x86)%\internet explorer\signup\explorer.exe
- %ProgramFiles(x86)%\internet explorer\signup\7a0fd90576e088
- <Текущая директория>\wininit.exe
- <Текущая директория>\56085415360792
- %WINDIR%\registration\crmlog\csrss.exe
- %WINDIR%\registration\crmlog\886983d96e3d3e
- C:\recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\wininit.exe
- C:\recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\56085415360792
- %TEMP%\vhwhbh7oso
- %TEMP%\dsqbrvhwyf.bat
- nul
Удаляет следующие файлы
- %TEMP%\vhwhbh7oso
Сетевая активность
Подключается к
- '45.##4.52.152':80
TCP
Запросы HTTP POST
- http://45.##4.52.152/PhpjsupdateBaseAsyncWp.php
UDP
- 'localhost':123
Другое
Создает и запускает на исполнение
- '<Текущая директория>\wininit.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\dSQBRvhwYF.bat" (со скрытым окном)
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\w32tm.exe' /stripchart /computer:localhost /period:5 /dataonly /samples:2
