Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\net.exe' stop srumon
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\5136-1384-<Имя файла>.exe-21-15-11-964.dump
- %TEMP%\content\5136-1384-<Имя файла>.exe-21-15-12-299.dump
- %TEMP%\content\5136-5232-<Имя файла>.exe-21-15-18-248.dump
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
Удаляет следующие системные файлы
- %WINDIR%\appcompat\programs\yqqtw1br.vec
- %WINDIR%\appcompat\programs\ffxysiqv.d3j
- %WINDIR%\appcompat\programs\o2yrmadd.sg0
Перемещает следующие системные файлы
- %WINDIR%\appcompat\programs\amcache.hve в %WINDIR%\appcompat\programs\yqqtw1br.vec
- %WINDIR%\appcompat\programs\amcache.hve.log1 в %WINDIR%\appcompat\programs\ffxysiqv.d3j
- %WINDIR%\appcompat\programs\amcache.hve.log2 в %WINDIR%\appcompat\programs\o2yrmadd.sg0
Сетевая активность
Подключается к
- 'di##ord.com':443
TCP
Другие
- 'di##ord.com':443
UDP
- DNS ASK di##ord.com
Другое
Запускает на исполнение
- '<SYSTEM32>\net1.exe' stop srumon
