Техническая информация
Вредоносные функции
Загружает
- https://igetintopc.vip/d6l9 как %temp%\tempfile_8019.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\football-manager-2026.torrent
- %TEMP%\rarsfx0\file.exe
- %TEMP%\f180.tmp\f190.tmp\f191.bat
- %TEMP%\tempfile_8019.exe
Удаляет файлы, которые сам же создал
- %TEMP%\tempfile_8019.exe
- %TEMP%\f180.tmp\f190.tmp\f191.bat
Сетевая активность
Подключается к
- 'ig###ntopc.vip':443
- 'x1.#.lencr.org':80
- 'gi##ub.com':443
- 're#########ets.githubusercontent.com':443
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'ig###ntopc.vip':443
- 'gi##ub.com':443
- 're#########ets.githubusercontent.com':443
UDP
- DNS ASK ig###ntopc.vip
- DNS ASK x1.#.lencr.org
- DNS ASK gi##ub.com
- DNS ASK re#########ets.githubusercontent.com
Другое
Ищет следующие окна
- ClassName: 'Edit' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\file.exe'
- '%TEMP%\tempfile_8019.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\F180.tmp\F190.tmp\F191.bat %TEMP%\RarSFX0\File.exe" (со скрытым окном)
