Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\1332-3084-<Имя файла>.exe-19-05-47-081.dump
- %TEMP%\guardian_src_8bf24973fb494a29b958ca3ba0072bd1.cs
- %TEMP%\cscf5a0bf859e145c69683f834e116938e.tmp
- %TEMP%\resa355.tmp
- %TEMP%\<Имя файла>.exe
- %TEMP%\content\1332-3084-<Имя файла>.exe-19-05-50-225.dump
- %TEMP%\91017343-f8ca-4269-bbbf-6fbe18854993.ttf
Удаляет файлы, которые сам же создал
- %TEMP%\resa355.tmp
- %TEMP%\cscf5a0bf859e145c69683f834e116938e.tmp
- %TEMP%\guardian_src_8bf24973fb494a29b958ca3ba0072bd1.cs
Сетевая активность
Подключается к
- 'ke##uth.win':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'ke##uth.win':443
UDP
- DNS ASK ke##uth.win
- DNS ASK x1.#.lencr.org
Другое
Создает и запускает на исполнение
- '%TEMP%\<Имя файла>.exe' 1332
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /target:exe /out:"%TEMP%\<Имя файла>.exe" "%TEMP%\guardian_src_8bf24973fb494a29b958ca3ba0072bd1.cs"
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESA355.tmp" "%TEMP%\CSCF5A0BF859E145C69683F834E116938E.TMP" (со скрытым окном)
