Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im "Browse.exe"
- '<SYSTEM32>\taskkill.exe' /f /im "cmdsrvs.exe"
- '<SYSTEM32>\taskkill.exe' /f /im "websock.exe"
- '<SYSTEM32>\taskkill.exe' /f /im "Service.exe"
- '<SYSTEM32>\taskkill.exe' /f /im "Shadowsocks.exe"
Изменения в файловой системе:
Создает следующие файлы:
- C:\Applications\Xtra\is-6NUMH.tmp
- C:\Applications\Xtra\is-C9GB2.tmp
- C:\Browse\is-H96L4.tmp
- %ProgramFiles%\Shadowsocks\unins000.dat
- C:\Browse\is-UPN89.tmp
- C:\Applications\Xtra\is-9DH01.tmp
- %TEMP%\is-5F56T.tmp\<Имя файла>.tmp
- %TEMP%\is-Q5MJ0.tmp\<Имя файла>.tmp
- %ProgramFiles%\Shadowsocks\is-0K8IM.tmp
- C:\Applications\is-5NDLL.tmp
- C:\Applications\is-Q7OPL.tmp
Удаляет следующие файлы:
- %TEMP%\is-Q5MJ0.tmp\<Имя файла>.tmp
Перемещает следующие файлы:
- C:\Applications\Xtra\is-6NUMH.tmp в C:\Applications\Xtra\CKz.exe
- C:\Applications\Xtra\is-C9GB2.tmp в C:\Applications\Xtra\CKz.dll
- C:\Browse\is-UPN89.tmp в C:\Browse\cmdsrvs.exe
- C:\Browse\is-H96L4.tmp в C:\Browse\Browse.exe
- C:\Applications\is-Q7OPL.tmp в C:\Applications\Service.exe
- %ProgramFiles%\Shadowsocks\is-0K8IM.tmp в %ProgramFiles%\Shadowsocks\unins000.exe
- C:\Applications\Xtra\is-9DH01.tmp в C:\Applications\Xtra\7z.dll
- C:\Applications\is-5NDLL.tmp в C:\Applications\websock.exe
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
Создает и запускает на исполнение:
- '%TEMP%\is-5F56T.tmp\<Имя файла>.tmp' /SL5="$200FA,6612526,425984,<Полный путь к файлу>" /VERYSILENT
- '<Полный путь к файлу>' /VERYSILENT
- '%TEMP%\is-Q5MJ0.tmp\<Имя файла>.tmp' /SL5="$30092,6612526,425984,<Полный путь к файлу>"
Запускает на исполнение:
- '<SYSTEM32>\tskill.exe' "Browse"
- '<SYSTEM32>\tskill.exe' "cmdsrvs"
- '<SYSTEM32>\tskill.exe' "websock"
- '<SYSTEM32>\tskill.exe' "Service"
- '<SYSTEM32>\tskill.exe' "Shadowsocks"
