Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\extreme injector v3.exe
- %TEMP%\0g1hcroewkrb3mk7.exe
- %TEMP%\content\1760-1696-0g1hcroewkrb3mk7.exe-15-22-51-396.dump
- <Текущая директория>\settings.xml
Сетевая активность
UDP
- DNS ASK ra#.####ubusercontent.com
- DNS ASK ap#.#pify.org
- DNS ASK ic###azip.com
- DNS ASK Si#######-38716.portmap.host
Другое
Создает и запускает на исполнение
- '%TEMP%\extreme injector v3.exe'
- '%TEMP%\0g1hcroewkrb3mk7.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EncodedCommand "PAAjAG0AcgBtACMAPgBBAGQAZAAtAFQAeQBwAGUAIAAtAEEAcwBzAGUAbQBiAGwAeQBOAGEAbQBlACAAUwB5AHMAdABlAG0ALgBXAGkAbgBkAG8AdwBzAC4ARgBvAHIAbQBzADsAPAAjAHAAcgBtACMAPgBbAFMAeQBzAHQAZQBtAC4A... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EncodedCommand "PAAjAGIAdgBsACMAPgBBAGQAZAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAAPAAjAHkAdgB3ACMAPgAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEAAKAAkAGUAbgB2ADoAVQBzAGUAcgBQAHIAbwBmAGkAbABlACwA... (со скрытым окном)
- '%TEMP%\extreme injector v3.exe' (со скрытым окном)
- '%TEMP%\0g1hcroewkrb3mk7.exe' (со скрытым окном)
