Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\setup.exe'
Запускает на исполнение:
- '<SYSTEM32>\msiexec.exe' /i "%TEMP%\RarSFX0\Ovkuse.msi"
- '<SYSTEM32>\msiexec.exe' /V
- '<SYSTEM32>\msiexec.exe' -Embedding B6AD27B71CBBDDE9D42931179F173CDC C
- '<SYSTEM32>\cmd.exe' /c ""%PROGRAM_FILES%\kolobrod\nada rano vsavat\1ca0a320b7bd66069c01d79c71e2349.bat" "
- '<SYSTEM32>\wscript.exe' "%PROGRAM_FILES%\kolobrod\nada rano vsavat\ee\63c4da4fde984fa5c719cdcf2147ab7f.vbs"
- '<SYSTEM32>\wscript.exe' "%PROGRAM_FILES%\kolobrod\nada rano vsavat\ee\87dba6b5e5e739d7a8506bbceb19e4be.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Recent\ee.lnk
- %HOMEPATH%\Recent\63c4da4fde984fa5c719cdcf2147ab7f.lnk
- %PROGRAM_FILES%\kolobrod\nada rano vsavat\ee\87dba6b5e5e739d7a8506bbceb19e4be.vbs
- %TEMP%\MSI1.tmp
- %TEMP%\38108.msi
- %HOMEPATH%\Recent\87dba6b5e5e739d7a8506bbceb19e4be.lnk
- %PROGRAM_FILES%\kolobrod\nada rano vsavat\ee\63c4da4fde984fa5c719cdcf2147ab7f.vbs
- %TEMP%\$inst\2.tmp
- %TEMP%\RarSFX0\setup.exe
- %TEMP%\RarSFX0\Ovkuse.msi
- %PROGRAM_FILES%\kolobrod\nada rano vsavat\1ca0a320b7bd66069c01d79c71e2349.bat
- %PROGRAM_FILES%\kolobrod\nada rano vsavat\ee\aaaaaaaaaaaaaaa.aa.aa
- %TEMP%\$inst\temp_0.tmp
Удаляет следующие файлы:
- %HOMEPATH%\Recent\ee.lnk
- %TEMP%\MSI1.tmp
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- '19#.#41.191.138':1999
- 'localhost':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
