Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\wimj\keoplr
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\novocgd\sartst.chm
- %APPDATA%\novocgd\sartst.exe
- %TEMP%\87c9.tmp
- %TEMP%\9557.tmp
- %TEMP%\970e.tmp
- %TEMP%\9877.tmp
- %TEMP%\9b08.tmp
- %TEMP%\9da9.tmp
- %TEMP%\a134.tmp
- %TEMP%\a368.tmp
- %TEMP%\a51e.tmp
- %TEMP%\a6a6.tmp
- %TEMP%\a86c.tmp
- %TEMP%\a967.tmp
- %TEMP%\aadf.tmp
- %TEMP%\ac38.tmp
- %TEMP%\ad71.tmp
- %TEMP%\ae4d.tmp
- %TEMP%\af09.tmp
- %TEMP%\af97.tmp
- %TEMP%\b054.tmp
- %TEMP%\b12f.tmp
- %TEMP%\b1bd.tmp
- %TEMP%\b2a8.tmp
- %TEMP%\b326.tmp
- %TEMP%\b3b4.tmp
- %TEMP%\b490.tmp
- %TEMP%\b4fe.tmp
- %TEMP%\b56c.tmp
- %TEMP%\b60a.tmp
- %TEMP%\b688.tmp
- %TEMP%\b68a.tmp
- %TEMP%\b7c3.tmp
- %TEMP%\b89f.tmp
- %TEMP%\b8cf.tmp
- %TEMP%\b9ca.tmp
- %TEMP%\ba38.tmp
- %TEMP%\bae5.tmp
Удаляет файлы, которые сам же создал
- %TEMP%\9557.tmp
- %TEMP%\970e.tmp
- %TEMP%\9877.tmp
- %TEMP%\9b08.tmp
- %TEMP%\9da9.tmp
- %TEMP%\b60a.tmp
- %TEMP%\b688.tmp
- %TEMP%\b68a.tmp
- %TEMP%\b7c3.tmp
- %TEMP%\b89f.tmp
Сетевая активность
UDP
- DNS ASK ch###r34.top
Другое
Создает и запускает на исполнение
- '%APPDATA%\novocgd\sartst.exe' "%APPDATA%\novocgd\sartst.chm"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C schtasks.exe /create /f /tn \Wimj\keoplr /tr """"%APPDATA%\novocgd\sartst.exe""" """%APPDATA%\novocgd\sartst.chm"""" /du 952:20 /st 00:02 /ri 1 /sc once (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /f /tn \Wimj\keoplr /tr """"%APPDATA%\novocgd\sartst.exe""" """%APPDATA%\novocgd\sartst.chm"""" /du 952:20 /st 00:02 /ri 1 /sc once
