Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\shellexperiencehost
- <SYSTEM32>\tasks\securityhealthsystray
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\opera software\shellexperiencehost.exe
- %ProgramFiles(x86)%\microsoft sql server\securityhealthsystray.exe
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\f686aace6942fb7f7ceb231212eef4a4_8cf7b530-613e-439b-a8c5-ccfc0e745400
- %TEMP%\7z.dll
- %TEMP%\7z.exe
- %TEMP%\temp.zip
- <SYSTEM32>\windowspowershell\v1.0\v1.2.70\scripts.txt
- <SYSTEM32>\windowspowershell\v1.0\v1.2.70\xeno-win64\libglesv2.dll
- <SYSTEM32>\windowspowershell\v1.0\v1.2.70\xeno-win64\xeno.exe
Удаляет файлы, которые сам же создал
- %TEMP%\temp.zip
- %TEMP%\7z.dll
- %TEMP%\7z.exe
Сетевая активность
Подключается к
- 'ra#.####ubusercontent.com':443
- 'gi##ub.com':443
TCP
Другие
- 'ra#.####ubusercontent.com':443
- 'gi##ub.com':443
UDP
- DNS ASK dn#.google
- DNS ASK ra#.####ubusercontent.com
- DNS ASK gi##ub.com
- 'dn#.google':443
- '18#.#14.96.1':443
- '18#.#14.97.1':443
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\microsoft sql server\securityhealthsystray.exe'
- '%TEMP%\7z.exe' x %TEMP%\\temp.zip -o"<SYSTEM32>\WindowsPowerShell\v1.0" -spe -y
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' (со скрытым окном)
