Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\comment
- %TEMP%\ixp000.tmp\ride
- %TEMP%\ixp000.tmp\malta.adts
- %TEMP%\ixp000.tmp\cookie
- %TEMP%\ixp000.tmp\trustees
- %TEMP%\ixp000.tmp\remainder.adts
- %TEMP%\ixp000.tmp\spot.adts
- %TEMP%\ixp000.tmp\bend.adts
- %TEMP%\ixp000.tmp\continuing.adts
- %TEMP%\ixp000.tmp\faces.adts
- %TEMP%\ixp000.tmp\626792\accounting.exe
- %TEMP%\ixp000.tmp\626792\k
Удаляет файлы, которые сам же создал
- %TEMP%\ixp000.tmp\626792\k
Самоудаляется.
Сетевая активность
Подключается к
- 't.#e':443
- 'tu###ul.cyou':443
TCP
Другие
- 't.#e':443
- 'tu###ul.cyou':443
UDP
- DNS ASK Um#######jxKSs.UmMLbMEQqjxKSs
- DNS ASK t.#e
- DNS ASK tu###ul.cyou
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\626792\accounting.exe' k
Запускает на исполнение
- '<SYSTEM32>\sc.exe' /?alksjdfhjf834827435 (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /v /c Set egHEsWw=cmd & !egHEsWw! < Malta.adts (со скрытым окном)
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\findstr.exe' /V "lift" Ride
