Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\4228-5284-<Имя файла>.exe-12-38-39-474.dump
- %TEMP%\guardian_src_3e5ba60ca2e4482c9742e5879375c49d.cs
- %TEMP%\csc8247eef914a3487c8dea5bfd18ee2716.tmp
- %TEMP%\res66a5.tmp
- %TEMP%\<Имя файла>.exe
- %TEMP%\content\4228-5284-<Имя файла>.exe-12-38-57-628.dump
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
Удаляет файлы, которые сам же создал
- %TEMP%\res66a5.tmp
- %TEMP%\csc8247eef914a3487c8dea5bfd18ee2716.tmp
- %TEMP%\guardian_src_3e5ba60ca2e4482c9742e5879375c49d.cs
Сетевая активность
UDP
- DNS ASK ke##uth.win
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Создает и запускает на исполнение
- '%TEMP%\<Имя файла>.exe' 4228
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /target:exe /out:"%TEMP%\<Имя файла>.exe" "%TEMP%\guardian_src_3e5ba60ca2e4482c9742e5879375c49d.cs"
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES66A5.tmp" "%TEMP%\CSC8247EEF914A3487C8DEA5BFD18EE2716.TMP" (со скрытым окном)
