Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\wihnup
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\2nu39r1l69.exe
- %APPDATA%\bwqhmiscfb.exe
- %APPDATA%\wihnup.exe
- %TEMP%\tmp6647.tmp.bat
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\2nu39r1l69.exe.log
- nul
Сетевая активность
Подключается к
- '45.##.186.245':4449
Другое
Создает и запускает на исполнение
- '%APPDATA%\2nu39r1l69.exe'
- '%APPDATA%\bwqhmiscfb.exe'
- '%APPDATA%\wihnup.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "Wihnup" /tr '"%APPDATA%\Wihnup.exe"' & exit (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp6647.tmp.bat""
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /rl highest /tn "Wihnup" /tr '"%APPDATA%\Wihnup.exe"'
- '<SYSTEM32>\timeout.exe' 3
- '%APPDATA%\2nu39r1l69.exe' (со скрытым окном)
- '%APPDATA%\bwqhmiscfb.exe' (со скрытым окном)
