Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\calculator\calculator
- <SYSTEM32>\tasks\microsoft\windows\calculator\calculator_periodic
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\microsoft\calculator\calculator.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\microsoft\calculator\calculator.exe
Сетевая активность
Подключается к
- 'localhost':49187
- 'localhost':49189
- 'localhost':49191
- 'localhost':49193
- 'localhost':49195
- 'localhost':49197
- 'localhost':49199
- 'localhost':49201
- 'localhost':49203
TCP
Другие
- 'localhost':49187
- 'localhost':49201
- 'localhost':49200
- 'localhost':49199
- 'localhost':49198
- 'localhost':49197
- 'localhost':49196
- 'localhost':49202
- 'localhost':49195
- 'localhost':49193
- 'localhost':49192
- 'localhost':49191
- 'localhost':49190
- 'localhost':49189
- 'localhost':49188
- 'localhost':49194
- 'localhost':49203
UDP
- DNS ASK pa###hare.com
- DNS ASK rs##096.com
- DNS ASK pq###pwt.net
- DNS ASK pq###pwt.com
- DNS ASK pq###pwt.org
- DNS ASK pq##wpwt.us
- DNS ASK pq###pwt.biz
- DNS ASK pq###pwt.club
- DNS ASK pq###pwt.wiki
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\microsoft\calculator\calculator.exe'
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {63E5CE73-F89C-4FE4-AF0E-350AC5FEA33A} S-1-5-21-3691498038-2086406363-2140527554-1000:mqbazcoytg\user:Interactive:[1]
- '%ALLUSERSPROFILE%\microsoft\calculator\calculator.exe' (со скрытым окном)
