Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\winsynctask_ts
- %APPDATA%\microsoft\windows\start menu\programs\startup\tservice.lnk
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\testsoftware\media\investment loss review and detailed analysis report.pdf
- nul
- %TEMP%\sl_tmp.vbs
- %ALLUSERSPROFILE%\testsoftware\data\investment loss review and detailed analysis report.pdf
- %ALLUSERSPROFILE%\testsoftware\data\tservice.exe
- %LOCALAPPDATA%\adobe\color\profiles\wscrgb.icc
- %LOCALAPPDATA%\adobe\color\profiles\wsrgb.icc
- %LOCALAPPDATA%\adobe\color\acecache11.lst
Удаляет файлы, которые сам же создал
- %TEMP%\sl_tmp.vbs
Сетевая активность
Подключается к
- '47.##.185.69':10010
UDP
- DNS ASK acroipm2.adobe.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' //B //Nologo %TEMP%\sl_tmp.vbs
- '%ALLUSERSPROFILE%\testsoftware\data\tservice.exe'
Запускает на исполнение
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%ALLUSERSPROFILE%\TestSoftware\media\Investment Loss Review and Detailed Analysis Report.pdf"
- '<SYSTEM32>\net.exe' session (со скрытым окном)
- '<SYSTEM32>\net1.exe' session
- '<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq QQPCTray.exe" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn WinSyncTask_TS /tr %ALLUSERSPROFILE%\TestSoftware\data\TService.exe /sc onlogon /rl highest /f (со скрытым окном)
- '<SYSTEM32>\wscript.exe' //B //Nologo %TEMP%\sl_tmp.vbs (со скрытым окном)
- '%ALLUSERSPROFILE%\testsoftware\data\tservice.exe' (со скрытым окном)
