Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\lymmqeui.job
- <SYSTEM32>\tasks\lymmqeui
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\s-1-5-18\d42cc0c3858a58db2db37658219e6400_8cf7b530-613e-439b-a8c5-ccfc0e745400
- %TEMP%\adaa4fbc41\lymmqeui.exe
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- 'mi#####ft-telemetry.cc':80
- 'xb######metry-defender.cc':80
- 'mo#####.map.fastly.net':443
TCP
Запросы HTTP POST
- http://mi#####ft-telemetry.cc/cvdfnaFJBmC1/index.php
- http://mi#####ft-telemetry.at/cvdfnaFJBmC0/index.php
- http://xb######metry-defender.cc/cvdfnaFJBmC2/index.php
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK mi#####ft-telemetry.at
- DNS ASK mi#####ft-telemetry.cc
- DNS ASK xb######metry-defender.cc
- DNS ASK mo#####.map.fastly.net
Другое
Создает и запускает на исполнение
- '%TEMP%\adaa4fbc41\lymmqeui.exe'
Запускает на исполнение
- '%TEMP%\adaa4fbc41\lymmqeui.exe' (со скрытым окном)
