Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\find.exe' /C /I "0.0.0.0 keystone.mwbsys.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "0.0.0.0 keystone-prod.elasticbeanstalk.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "0.0.0.0 serius.mwbsys.com" <DRIVERS>\etc\hosts
- '%ProgramFiles%\NIA Team\Malwarebytes Anti Malware by Rhost\blockhosts.exe'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\blockhosts.bat" "%ProgramFiles%\NIA Team\Malwarebytes Anti Malware by Rhost\blockhosts.exe""
- '<SYSTEM32>\attrib.exe' -r <DRIVERS>\etc\hosts
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\clean.lnk
- %ProgramFiles%\NIA Team\Malwarebytes Anti Malware by Rhost\Uninstall.exe
- %TEMP%\1.tmp\blockhosts.bat
- %ProgramFiles%\NIA Team\Malwarebytes Anti Malware by Rhost\Uninstall.ini
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %ProgramFiles%\NIA Team\Malwarebytes Anti Malware by Rhost\blockhosts.exe
- %ALLUSERSPROFILE%\Malwarebytes\Malwarebytes Anti-Malware\Configuration\license.conf
Присваивает атрибут 'скрытый' для следующих файлов:
- %ProgramFiles%\NIA Team\Malwarebytes Anti Malware by Rhost\blockhosts.exe
Удаляет следующие файлы:
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
