Техническая информация
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\6e6ff8ae843fae
- %HOMEPATH%\desktop\ejodfmxu.log
- %HOMEPATH%\desktop\ositpodc.log
- %HOMEPATH%\desktop\zgmjzayk.log
- %HOMEPATH%\desktop\cuhhwoal.log
- nul
- %TEMP%\onestyfsi6.bat
- %TEMP%\5uhbfg97ll
- C:\recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\101b941d020240
- C:\recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\lsm.exe
- C:\users\default\cookies\f3b6ecef712a24
- C:\users\default\cookies\spoolsv.exe
- %ProgramFiles%\microsoft sync framework\27d1bcfc3c54e0
- %ProgramFiles%\microsoft sync framework\system.exe
- C:\kms\f3b6ecef712a24
- C:\kms\spoolsv.exe
- C:\msocache\all users\{90140000-0018-0409-1000-0000000ff1ce}-c\b75386f1303e64
- C:\msocache\all users\{90140000-0018-0409-1000-0000000ff1ce}-c\taskhost.exe
- %HOMEPATH%\desktop\ncyymzsg.log
- %HOMEPATH%\desktop\vqwssdxr.log
Удаляет следующие файлы
- %TEMP%\5uhbfg97ll
Сетевая активность
Подключается к
- '72####cm.shnyash.ru':80
TCP
Запросы HTTP POST
- http://72####cm.shnyash.ru/PollUpdategameApiwindowsDownloads.php
Другие
- '34.##9.100.209':443
UDP
- DNS ASK 72####cm.shnyash.ru
- 'localhost':123
Другое
Создает и запускает на исполнение
- 'C:\users\default\cookies\spoolsv.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\oNesTyfsI6.bat" (со скрытым окном)
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\w32tm.exe' /stripchart /computer:localhost /period:5 /dataonly /samples:2
