Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\calculator\calculator
- <SYSTEM32>\tasks\microsoft\windows\calculator\calculator_periodic
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\microsoft\calculator\calculator.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\microsoft\calculator\calculator.exe
Сетевая активность
Подключается к
- '34.##9.100.209':443
- 'localhost':49185
- 'localhost':49187
- 'localhost':49189
- 'localhost':49191
- 'localhost':49193
- 'localhost':49195
- 'localhost':49197
TCP
Другие
- 'localhost':49185
- 'localhost':49186
- 'localhost':49187
- 'localhost':49188
- 'localhost':49189
- 'localhost':49190
- 'localhost':49191
- 'localhost':49192
- 'localhost':49193
- 'localhost':49194
- 'localhost':49195
- 'localhost':49196
- 'localhost':49197
UDP
- DNS ASK pa###hare.com
- DNS ASK rs##096.com
- DNS ASK pq###pwt.net
- DNS ASK pq###pwt.com
- DNS ASK pq###pwt.org
- DNS ASK pq##wpwt.us
- DNS ASK pq###pwt.biz
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\microsoft\calculator\calculator.exe'
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {8AFDAAC6-F022-4584-8C47-3ED40BAE9B07} S-1-5-21-3691498038-2086406363-2140527554-1000:xaqnfbx\user:Interactive:[1]
- '%ALLUSERSPROFILE%\microsoft\calculator\calculator.exe' (со скрытым окном)
