Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>' = '%APPDATA%\<Имя файла>.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.exe
- <SYSTEM32>\tasks\<Имя файла>
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\3380-1176-<Имя файла>.exe-14-17-26-420.dump
- %APPDATA%\<Имя файла>.exe
- %TEMP%\content\3408-1080-<Имя файла>.exe-14-18-02-705.dump
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %TEMP%\content\1092-4896-<Имя файла>.exe-14-19-00-995.dump
Сетевая активность
Подключается к
- 'ip##pi.com':80
- '<LOCALNET>.4.253':1417
- 'ra#.####ubusercontent.com':443
TCP
Запросы HTTP GET
- http://ip##pi.com/line/?fi############
Другие
- 'ra#.####ubusercontent.com':443
UDP
- DNS ASK ip##pi.com
- DNS ASK ra#.####ubusercontent.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\<Имя файла>.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /f /sc minute /mo 1 /tn "<Имя файла>" /tr "%APPDATA%\<Имя файла>.exe" (со скрытым окном)
