Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im "<Имя файла>.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\<Имя файла>.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %APPDATA%\microsoft\windows\start menu\programs\windows memory cleaner.lnk
- %LOCALAPPDATA%\microsoft\windows\explorer\notifyicon\microsoft.explorer.notification.{f879bb83-23cf-f33f-0253-6949df0a4a17}.png
Сетевая активность
Подключается к
- 'ra#.####ubusercontent.com':443
- 'gi##ub.com':443
- 're#########ets.githubusercontent.com':443
TCP
Другие
- 'ra#.####ubusercontent.com':443
- 'gi##ub.com':443
UDP
- DNS ASK ra#.####ubusercontent.com
- DNS ASK gi##ub.com
- DNS ASK re#########ets.githubusercontent.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<Полный путь к файлу>' /3.0.7.0
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im "<Имя файла>.exe" & move /y "%TEMP%\<Имя файла>.exe" "<Полный путь к файлу>" & start "" "<Полный путь к файлу>" /3.0.7.0
- '<SYSTEM32>\schtasks.exe' /DELETE /F /TN "Windows Memory Cleaner"
