Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Temp\360网购保镖.exe'
Запускает на исполнение:
- '<SYSTEM32>\tasklist.exe'
- '<SYSTEM32>\findstr.exe' /i "ravmond.exe 360tray.exe kxetray.exe "
- '<SYSTEM32>\attrib.exe' <SYSTEM32>\GroupPolicy\*.* -r -s -h /s /d
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v "PendingFileRenameOperations2" /t "REG_MULTI_SZ" /d "\??\%WINDIR%\mui0\0\??%%WINDIR%\mui\0\??\%WINDIR%\mui\scripts.ini\0\??\<SYSTEM32>\GroupPolicy\user\Scripts\scripts.ini" /f
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\temp\s1.bat
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Media\error.s8
- %WINDIR%\Temp\s1.bat
- <SYSTEM32>\GroupPolicy\gpt.ini
- %WINDIR%\mui\scripts.ini
- %WINDIR%\Temp\scripts.ini
- %WINDIR%\Temp\360网购保镖.exe
- %WINDIR%\Temp\sas.gif
- %WINDIR%\Temp\sas.exe
- %WINDIR%\Temp\Seext.dll
- %WINDIR%\Temp\we.dll
- %WINDIR%\Temp\we.bat
Удаляет следующие файлы:
- %WINDIR%\Temp\Seext.dll
Перемещает следующие файлы:
- %WINDIR%\Temp\we.dll в %WINDIR%\Media\Seext.dll
- %WINDIR%\Temp\scripts.ini в %WINDIR%\Media\scripts.ini
- %WINDIR%\Temp\sas.exe в %WINDIR%\Media\sas.exe
- %WINDIR%\Temp\we.bat в %WINDIR%\Media\s1.bat
- %WINDIR%\Temp\sas.gif в %WINDIR%\Media\sas.gif
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
