Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\applaunch.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\4808-4336-<Имя файла>.exe-20-12-46-893.dump
- %TEMP%\content\4808-4336-<Имя файла>.exe-20-12-47-210.dump
- %APPDATA%\microsoft\windows\start menu\programs\winrar\updater.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %TEMP%\content\4936-2124-applaunch.exe-20-13-32-607.dump
- %TEMP%\content\4936-2124-applaunch.exe-20-13-32-833.dump
- %TEMP%\content\4936-2124-applaunch.exe-20-13-39-132.dump
Сетевая активность
Подключается к
- '17#.#3.155.202':9090
- '17#.#3.155.202':9091
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENC cwB0AGEAcgB0AC0AcwBsAGUAZQBwACAALQBzAGUAYwBvAG4AZABzACAANAAwAA== (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\applaunch.exe'
