Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\xbeldhak.exe
- %TEMP%\yrsw.exe
- %TEMP%\gdobj.7z
- %TEMP%\nsuc843.tmp\execdos.dll
- %TEMP%\fenopy.exe
- %TEMP%\_ir_sf_temp_0\irsetup.exe
- %TEMP%\_ir_sf_temp_0\lua5.1.dll
- %TEMP%\_ir_sf_temp_0\irsetup.dat
- %TEMP%\_ir_sf_temp_0\irimg1.jpg
- %TEMP%\_ir_sf_temp_0\irimg2.jpg
- %ALLUSERSPROFILE%\intuit\turbotax\msi\ty12\logs\lite.log
Удаляет файлы, которые сам же создал
- %TEMP%\nsuc843.tmp\execdos.dll
- %TEMP%\_ir_sf_temp_0\irsetup.dat
Сетевая активность
UDP
- DNS ASK im###picz.info
Другое
Создает и запускает на исполнение
- '%TEMP%\yrsw.exe' x "%TEMP%\gdobj.7z" -pumdmgktpbq -o"%TEMP%\" -aoa
- '%TEMP%\xbeldhak.exe'
- '%TEMP%\fenopy.exe'
- '%TEMP%\_ir_sf_temp_0\irsetup.exe' __IRAOFF:1742194 "__IRAFN:%TEMP%\fenopy.exe" "__IRCT:3" "__IRTSS:0" "__IRSID:S-1-5-21-4226853953-3309226944-3078887307-1000"
Запускает на исполнение
- '%TEMP%\yrsw.exe' x "%TEMP%\gdobj.7z" -pumdmgktpbq -o"%TEMP%\" -aoa (со скрытым окном)
