Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\downldrlisto.exe
- %TEMP%\launcherfenix-minecraft-v7.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\downldrlisto.exe.log
- %APPDATA%\microsoft\crypto\rsa\s-1-5-21-4226853953-3309226944-3078887307-1000\83aa4cc77f591dfc2374580bbd95f6ba_8cf7b530-613e-439b-a8c5-ccfc0e745400
Сетевая активность
UDP
- DNS ASK dr##box.com
- DNS ASK cd#.##scordapp.com
- DNS ASK fi###.##uncherfenix.com.ar
Другое
Создает и запускает на исполнение
- '%TEMP%\downldrlisto.exe'
- '%TEMP%\launcherfenix-minecraft-v7.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EncodedCommand "PAAjAGYAdgBhACMAPgBBAGQAZAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAAPAAjAGsAeAB0ACMAPgAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEAAKAAkAGUAbgB2ADoAVQBzAGUAcgBQAHIAbwBmAGkAbABlACwA... (со скрытым окном)
- '%ProgramFiles%\java\jre1.8.0_77\bin\javaw.exe' -jar "%TEMP%\LauncherFenix-Minecraft-v7.exe"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -EncodedCommand "PAAjAHQAYgB2ACMAPgBTAHQAYQByAHQALQBTAGwAZQBlAHAAIAAtAFMAZQBjAG8AbgBkAHMAIAAxADAAOwA8ACMAZQBlAGcAIwA+ACAAQQBkAGQALQBNAHAAUAByAGUAZgBlAHIAZQBuAGMAZQAgADwAIwB2AGwAeAAjAD4AIAAtAEUA... (со скрытым окном)
- '<SYSTEM32>\gamebarpresencewriter.exe' -ServerName:Windows.Gaming.GameBar.Internal.PresenceWriterServer
- '<SYSTEM32>\svchost.exe' -k appmodel -p -s camsvc
- '%TEMP%\downldrlisto.exe' (со скрытым окном)
- '%TEMP%\launcherfenix-minecraft-v7.exe' (со скрытым окном)
