Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Svchost.exe'
- '%TEMP%\RarSFX0\QhuAqp.exe' "EPmfcM"
Запускает на исполнение:
- '<SYSTEM32>\dumprep.exe' 2892 -dm 7 7 %TEMP%\WER91f3.dir00\Svchost.exe.hdmp 16325836412027152
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\sysdm.cpl,NoExecuteProcessException %TEMP%\Svchost.exe
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\dumprep.exe' 2860 -dm 7 7 %TEMP%\WER7e3a.dir00\Svchost.exe.mdmp 16325836412027128
- '<SYSTEM32>\dumprep.exe' 2892 -dm 7 7 %TEMP%\WER91f3.dir00\Svchost.exe.mdmp 16325836412027132
- '<SYSTEM32>\dumprep.exe' 2860 -dm 7 7 %TEMP%\WER7e3a.dir00\Svchost.exe.hdmp 16325836412027148
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\WER91f3.dir00\Svchost.exe.mdmp
- %TEMP%\WER7e3a.dir00\Svchost.exe.mdmp
- %TEMP%\Svchost.exe
- %TEMP%\WER7e3a.dir00\Svchost.exe.hdmp
- %TEMP%\WER7e3a.dir00\manifest.txt
- %TEMP%\WER7e3a.dir00\appcompat.txt
- %TEMP%\WER91f3.dir00\Svchost.exe.hdmp
- %TEMP%\EPmfcM
- %TEMP%\RarSFX0\QhuAqp.exe
- %TEMP%\RarSFX0\RwFLOJ.txt
- %TEMP%\RarSFX0\EPmfcM
- %TEMP%\RarSFX0\FewQAG.exe
- %TEMP%\FewQAG.exe
- %TEMP%\QhuAqp.exe
- %TEMP%\RwFLOJ.txt
Удаляет следующие файлы:
- %TEMP%\RarSFX0\RwFLOJ.txt
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- %TEMP%\RarSFX0\QhuAqp.exe
- %TEMP%\RarSFX0\EPmfcM
- %TEMP%\RarSFX0\FewQAG.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
