Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\net.exe' stop AdobeFlashPlayerHash
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\security.exe
- %TEMP%\RarSFX0\2r.bat
- %TEMP%\RarSFX1\securityexs24.exe
- %TEMP%\RarSFX1\securityexs241.exe
- %WINDIR%\parameters.ini
- %WINDIR%\systems.exe
- %TEMP%\nsl2.tmp\nsExec.dll
- %TEMP%\nsl2.tmp\ns3.tmp
- %TEMP%\nsl2.tmp\ns4.tmp
Удаляет следующие файлы:
- %TEMP%\nsl2.tmp\ns3.tmp
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\security.exe' -pEXSBOT -d%HOMEPATH%\Local Settings\Temp
- '%TEMP%\RarSFX1\securityexs241.exe'
- '%TEMP%\nsl2.tmp\ns3.tmp' <SYSTEM32>\cmd.exe /C net stop AdobeFlashPlayerHash
- '%TEMP%\nsl2.tmp\ns4.tmp' <SYSTEM32>\cmd.exe /C Sc delete AdobeFlashPlayerHash
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\2r.bat" "
- '<SYSTEM32>\cmd.exe' /C net stop AdobeFlashPlayerHash
- '<SYSTEM32>\net1.exe' stop AdobeFlashPlayerHash
- '<SYSTEM32>\cmd.exe' /C Sc delete AdobeFlashPlayerHash
- '<SYSTEM32>\sc.exe' delete AdobeFlashPlayerHash
