Техническая информация
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\ping.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ad-mymacro9.xml
- %ALLUSERSPROFILE%\boost_interprocess_qm\drzbmvip_i1a
- %ALLUSERSPROFILE%\boost_interprocess_qm\adea2rge8lm
- %ALLUSERSPROFILE%\boost_interprocess_qm\adea2rge8lm8
- %APPDATA%\mymacro\qdisp.dll
- %APPDATA%\mymacro\cfgdll.dll
- %TEMP%\qmlog\20250615.log
- %APPDATA%\mymacro\binding.exe
- %APPDATA%\mymacro\updatemacro.dat
- %APPDATA%\mymacro\mt.exe
- %TEMP%\mt.zip
- %APPDATA%\mymacro\runner.exe
- %TEMP%\runner.zip
- %APPDATA%\mymacro\rkey.dat
- %TEMP%\rkey.zip
- %TEMP%\mymacro.zip
- %APPDATA%\mymacro\plugin\color.dll
- %TEMP%\plugin.zip
- %TEMP%\macc457.tmp
- %TEMP%\adcon\mm\tmpad.xml
- %ALLUSERSPROFILE%\boost_interprocess_qm\kkea5dzxzapz
- %TEMP%\9ebf4ba.tmp
Удаляет следующие файлы
- %TEMP%\adcon\mm\tmpad.xml
- %TEMP%\plugin.zip
- %TEMP%\mymacro.zip
- %TEMP%\rkey.zip
- %TEMP%\runner.zip
- %TEMP%\mt.zip
- %ALLUSERSPROFILE%\boost_interprocess_qm\kkea5dzxzapz
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK so##.anjian.com
- DNS ASK do##.#rbrothers.com
- DNS ASK ba##u.com
- DNS ASK hm.##idu.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\mymacro\runner.exe' --host_id 3 --verify_key PUYHr3ej1Ow4 --product "<Полный путь к файлу>" --runner_md5 Rjg4N0Q0MjY2MkI0RUM3RTU3N0VBOTI0RUVDOEM3ODcA --version 2014.06.19549
- '%APPDATA%\mymacro\binding.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\ping.exe' www.baidu.com -n 2 (со скрытым окном)
