Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /Create /TR "%APPDATA%\Roaming\ARHome\Updater.exe" /SC ONIDLE /TN "5FOFD9B73D6C-2CRMOI6" /I 1 /RL HIGHEST /f
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
- '<SYSTEM32>\schtasks.exe' /Delete /tn "5FOFD9B73D6C-2CRMOI6" /f
- '<SYSTEM32>\schtasks.exe' /Delete /tn "4CEFD9B73D6C-1CRMOI2" /f
- '<SYSTEM32>\schtasks.exe' /Create /TR "%APPDATA%\Roaming\ARHome\Updater.exe" /SC DAILY /TN "4CEFD9B73D6C-1CRMOI2" /ST 01:20:00 /du 0024:00 /RI 360 /RL HIGHEST /f
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
- chrome.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\ext\background.html
- %APPDATA%\Roaming\ext.crx
- <SYSTEM32>\Tasks\5FOFD9B73D6C-2CRMOI6
- %APPDATA%\Roaming\ext\background.js
- %APPDATA%\Roaming\ext\manifest.json
- %APPDATA%\Roaming\ext\buzzdock.js
- %APPDATA%\Roaming\ext\bd_48.png
- %APPDATA%\Roaming\chrome-extension.localstorage
- %APPDATA%\Roaming\Mozilla\Firefox\Profiles\zp7tnb55.default\searchPlugins\VenteeRo.xml
- %APPDATA%\Roaming\Mozilla\Firefox\Profiles\zp7tnb55.default\prefs.jstmp
- %APPDATA%\Roaming\Mozilla\Firefox\Profiles\zp7tnb55.default\user.js
- %APPDATA%\Roaming\ARHome\Updater.zip
- %APPDATA%\Roaming\ARHome\uninstall.exe
- <SYSTEM32>\Tasks\4CEFD9B73D6C-1CRMOI2
- %APPDATA%\Roaming\ARHome\Updater.exe
Удаляет следующие файлы:
- %APPDATA%\Roaming\Mozilla\Firefox\Profiles\zp7tnb55.default\prefs.js
Перемещает следующие файлы:
- %APPDATA%\Roaming\Mozilla\Firefox\Profiles\zp7tnb55.default\prefs.jstmp в %APPDATA%\Roaming\Mozilla\Firefox\Profiles\zp7tnb55.default\prefs.js
