Техническая информация
Изменения в файловой системе
Создает следующие файлы
- <DRIVERS>\etc\hosts.ics
- %WINDIR%\server.crt
- %TEMP%\aut9bbf.tmp
- %TEMP%\unkclub_loader.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <DRIVERS>\etc\hosts.ics
Удаляет следующие системные файлы
- <DRIVERS>\etc\hosts
Удаляет файлы, которые сам же создал
- %WINDIR%\server.crt
- %TEMP%\aut9bbf.tmp
Сетевая активность
Подключается к
- 'ra#.####ubusercontent.com':443
- '13.##3.66.168':80
TCP
Запросы HTTP GET
- http://13.##3.66.168/server.crt
Другие
- 'ra#.####ubusercontent.com':443
UDP
- DNS ASK ra#.####ubusercontent.com
Другое
Добавляет корневой сертификат
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "Import-Certificate -FilePath '%WINDIR%\server.crt' -CertStoreLocation 'Cert:\LocalMachine\Root' -ErrorAction SilentlyContinue"
- '%TEMP%\unkclub_loader.exe'
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "Import-Certificate -FilePath '%WINDIR%\server.crt' -CertStoreLocation 'Cert:\LocalMachine\Root' -ErrorAction SilentlyContinue" (со скрытым окном)
