Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\828-2348-<Имя файла>.exe-12-15-48-146.dump
- %TEMP%\guardian_src_dde3fcea340940c49fef5877de221490.cs
- %TEMP%\csc42d5ea6dc49d419e93ea319549b95aa9.tmp
- %TEMP%\rese86c.tmp
- %TEMP%\<Имя файла>.exe
- %TEMP%\content\828-2348-<Имя файла>.exe-12-15-56-575.dump
- %TEMP%\content\828-2348-<Имя файла>.exe-12-15-57-183.dump
- %TEMP%\content\828-2348-<Имя файла>.exe-12-15-57-214.dump
- %TEMP%\content\828-2348-<Имя файла>.exe-12-15-57-229.dump
Удаляет файлы, которые сам же создал
- %TEMP%\rese86c.tmp
- %TEMP%\csc42d5ea6dc49d419e93ea319549b95aa9.tmp
- %TEMP%\guardian_src_dde3fcea340940c49fef5877de221490.cs
Сетевая активность
Подключается к
- 'pr##.#eyauth.com':443
TCP
Другие
- 'pr##.#eyauth.com':443
UDP
- DNS ASK ke##uth.win
- DNS ASK pr##.#eyauth.com
Другое
Создает и запускает на исполнение
- '%TEMP%\<Имя файла>.exe' 828
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /target:exe /out:"%TEMP%\<Имя файла>.exe" "%TEMP%\guardian_src_dde3fcea340940c49fef5877de221490.cs"
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESE86C.tmp" "%TEMP%\CSC42D5EA6DC49D419E93EA319549B95AA9.TMP" (со скрытым окном)
