Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' (загружен из сети Интернет)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ox_1756837073579.exe
- %TEMP%\ox_1756837073417.exe
- %TEMP%\ox_1756837073554.exe
- %TEMP%\ox_1756837073820.exe
Сетевая активность
Подключается к
- 'pu####erstext.top':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?02##############
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?62##############
Другие
- 'pu####erstext.top':443
UDP
- DNS ASK pu####erstext.top
Другое
Создает и запускает на исполнение
- '%TEMP%\ox_1756837073579.exe'
- '%TEMP%\ox_1756837073417.exe'
- '%TEMP%\ox_1756837073554.exe'
- '%TEMP%\ox_1756837073820.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c wmic csproduct get uuid
- '<SYSTEM32>\wbem\wmic.exe' csproduct get uuid
- '<SYSTEM32>\cmd.exe' start %TEMP%\ox_1756837073579.exe
- '<SYSTEM32>\cmd.exe' start %TEMP%\ox_1756837073417.exe
- '<SYSTEM32>\cmd.exe' start %TEMP%\ox_1756837073820.exe
- '<SYSTEM32>\cmd.exe' start %TEMP%\ox_1756837073554.exe
- '<SYSTEM32>\werfault.exe' -u -p 1420 -s 160 (со скрытым окном)
- '<SYSTEM32>\werfault.exe' -u -p 1120 -s 312 (со скрытым окном)
- '<SYSTEM32>\werfault.exe' -u -p 3676 -s 308 (со скрытым окном)
