Техническая информация
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\anqr5zc.exe
- C:\msdia140.dll
- C:\pdbtest\storport.pdb
- C:\pdbtest\ndis.pdb
- C:\pdbtest\pdbt.txt
Самоперемещается
- из <Полный путь к файлу> в <Текущая директория>\bocnlatk.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'msdl.microsoft.com':443
- 'oneocsp.microsoft.com':80
- 'vs###########ssu5shard85.blob.core.windows.net':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?ca##############
- http://oneocsp.microsoft.com/ocsp/MFQwUjBQME4wTDAJBgUrDgMCGgUABBR0TBEVYklX7A9yLoLD9hqmCWDxFgQU3pGGSLehMVkx8UtfB6nciHnaqHYCEzMAAAAMSWShb0QgOyIAAAAAAAw%3D
Другие
- 'msdl.microsoft.com':443
- 'vs###########ssu5shard75.blob.core.windows.net':443
UDP
- DNS ASK msdl.microsoft.com
- DNS ASK oneocsp.microsoft.com
- DNS ASK vs###########ssu5shard85.blob.core.windows.net
- DNS ASK vs###########ssu5shard75.blob.core.windows.net
Другое
Создает и запускает на исполнение
- '<Текущая директория>\anqr5zc.exe' <Текущая директория>\bOCNlAtK.exe
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ping -n 1 localhost&echo %random%>><Текущая директория>\ANqR5ZC.exe
- '<SYSTEM32>\ping.exe' -n 1 localhost
- '<SYSTEM32>\cmd.exe' /c ping -n 1 localhost&echo %random%>><Текущая директория>\bOCNlAtK.exe
- '<SYSTEM32>\cmd.exe' /c cls
- '<SYSTEM32>\cmd.exe' /c regsvr32 /s c:\msdia140.dll
- '<SYSTEM32>\regsvr32.exe' /s c:\msdia140.dll
