Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\control panel
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\1756-1816-<Имя файла>.exe-13-33-27-547.dump
- %TEMP%\content\1756-1816-<Имя файла>.exe-13-33-31-997.dump
- %TEMP%\content\1756-1816-<Имя файла>.exe-13-33-32-028.dump
- %TEMP%\content\1756-1816-<Имя файла>.exe-13-33-32-050.dump
- %TEMP%\content\1756-1816-<Имя файла>.exe-13-33-32-113.dump
- %TEMP%\content\1756-1816-<Имя файла>.exe-13-33-32-135.dump
- C:\users\system32\windowsdefender.exe
- %TEMP%\tmpf6c4.tmp.bat
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %TEMP%\content\2928-2040-windowsdefender.exe-13-33-35-688.dump
- %TEMP%\content\2928-2040-windowsdefender.exe-13-33-35-719.dump
- %TEMP%\content\2928-2040-windowsdefender.exe-13-33-35-726.dump
- %TEMP%\content\2928-2040-windowsdefender.exe-13-33-35-742.dump
- %TEMP%\content\2928-2040-windowsdefender.exe-13-33-35-773.dump
- %TEMP%\content\2928-2040-windowsdefender.exe-13-33-35-789.dump
- %TEMP%\content\2928-2040-windowsdefender.exe-13-33-35-879.dump
Сетевая активность
UDP
- DNS ASK google.com
Другое
Создает и запускает на исполнение
- 'C:\users\system32\windowsdefender.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /f /sc ONLOGON /RL HIGHEST /tn "Control Panel" /tr "C:\Users\system32\WindowsDefender.exe" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C %TEMP%\tmpF6C4.tmp.bat & Del %TEMP%\tmpF6C4.tmp.bat (со скрытым окном)
- '<SYSTEM32>\tasklist.exe' /fi "PID eq 1756"
- '<SYSTEM32>\find.exe' ":"
- '<SYSTEM32>\timeout.exe' /T 1 /Nobreak
