Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\java scheduler
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\injector.exe
- %WINDIR%\qwexhyclient.exe
- %TEMP%\client.exe
- %APPDATA%\java scheduler.exe
- %TEMP%\tmpa5c0.tmp.bat
- nul
Сетевая активность
Подключается к
- '5.##1.26.93':8808
- 'localhost':6606
Другое
Создает и запускает на исполнение
- '%WINDIR%\qwexhyclient.exe'
- '%TEMP%\client.exe'
- '%APPDATA%\java scheduler.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EncodedCommand "PAAjAGEAcABwACMAPgBBAGQAZAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAAPAAjAGgAcAB1ACMAPgAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEAAKAAkAGUAbgB2ADoAVQBzAGUAcgBQAHIAbwBmAGkAbABlACwA... (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "Java Scheduler" /tr '"%APPDATA%\Java Scheduler.exe"' & exit (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\tmpA5C0.tmp.bat""
- '%WINDIR%\syswow64\schtasks.exe' /create /f /sc onlogon /rl highest /tn "Java Scheduler" /tr '"%APPDATA%\Java Scheduler.exe"'
- '%WINDIR%\syswow64\timeout.exe' 3
- '%WINDIR%\qwexhyclient.exe' (со скрытым окном)
- '%TEMP%\client.exe' (со скрытым окном)
