Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\epoawejcjngbkh
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\softwaredistribution\sls\9482f4b4-e343-43b6-b170-9a65bc822c77\sls.cab
- %WINDIR%\softwaredistribution\sls\9482f4b4-e343-43b6-b170-9a65bc822c77\tmp6c76.tmp
- %WINDIR%\softwaredistribution\sls\855e8a7c-ecb4-4ca3-b045-1dfa50104289\sls.cab
- %WINDIR%\softwaredistribution\sls\855e8a7c-ecb4-4ca3-b045-1dfa50104289\tmp7476.tmp
- %WINDIR%\softwaredistribution\sls\8b24b027-1dee-babb-9a95-3517dfb9c552\sls.cab
- %WINDIR%\softwaredistribution\sls\8b24b027-1dee-babb-9a95-3517dfb9c552\tmp7801.tmp
- %APPDATA%\epoawejcjngbkh.exe
- %TEMP%\tmp9fda.tmp
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<Имя файла>.exe.log
Сетевая активность
UDP
- DNS ASK settings-win.data.microsoft.com
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\epOAWEJCjNGBKh" /XML "%TEMP%\tmp9FDA.tmp" (со скрытым окном)
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\install.vbs" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "%APPDATA%\Remcos\remcos.exe" (со скрытым окном)
