Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
- %LOCALAPPDATA%\microsoft\windows\history\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\smartscreencache.dat
- %LOCALAPPDATA%\packages\windows_ie_ac_001\ac\<INETFILES>\msimgsiz.dat
- %LOCALAPPDATA%\packages\windows_ie_ac_001\ac\inethistory\desktop.ini
- %LOCALAPPDATA%\packages\windows_ie_ac_001\ac\<INETFILES>\smartscreencache.dat
Удаляет следующие системные файлы
- %WINDIR%\servicestate\winhttpautoproxysvc\data\cachev3.dat
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\vault\userprofileroaming\latest.dat
Сетевая активность
Подключается к
- 'localhost':49699
- 'ke##uth.win':443
- 'x1.#.lencr.org':80
- 'e8.#.lencr.org':80
TCP
Запросы HTTP GET
- http://e8.#.lencr.org/21.crl
Другие
- 'localhost':49699
- 'localhost':49700
- 'ke##uth.win':443
UDP
- DNS ASK ke##uth.win
- DNS ASK x1.#.lencr.org
- DNS ASK e8.#.lencr.org
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 255
- '<SYSTEM32>\rundll32.exe' InetCpl.cpl,ClearMyTracksByProcess 255
- '%ProgramFiles%\internet explorer\iexplore.exe' -ResetDestinationList
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\inetcpl.cpl,ClearMyTracksByProcess Flags:255 WinX:0 WinY:0 IEFrame:0000000000000000
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "<Полный путь к файлу>" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "<Полный путь к файлу>" MD5
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
