Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\moduleico.job
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\read.me
- <Имя диска съемного носителя>:\pubnet_855.rtf.lnk
- <Имя диска съемного носителя>:\tapi\dels13110.doc
- <Имя диска съемного носителя>:\lisp_success.doc.lnk
- <Имя диска съемного носителя>:\tapi\dels19428.doc
- <Имя диска съемного носителя>:\krsweden.rtf.lnk
- <Имя диска съемного носителя>:\tapi\dels16029.doc
- <Имя диска съемного носителя>:\february_catalogue__2015.doc.lnk
- <Имя диска съемного носителя>:\tapi\dels23538.doc
- <Имя диска съемного носителя>:\waterlandhealthkano.rtf.lnk
- <Имя диска съемного носителя>:\tapi\dels5589.doc
- <Имя диска съемного носителя>:\weeklysheet1215.doc.lnk
- <Имя диска съемного носителя>:\tapi\dels28180.doc
- <Имя диска съемного носителя>:\fungalnameauthors.rtf.lnk
- <Имя диска съемного носителя>:\tapi\dels23800.doc
- <Имя диска съемного носителя>:\cveuropeo.doc.lnk
- <Имя диска съемного носителя>:\tapi\dels15411.doc
- <Имя диска съемного носителя>:\router_manual.rtf.lnk
- <Имя диска съемного носителя>:\tapi\dels4506.doc
- <Имя диска съемного носителя>:\glidescope_review_rev_010.docx.lnk
- <Имя диска съемного носителя>:\tapi\dels561.doc
- <Имя диска съемного носителя>:\phytoremediation.rtf.lnk
- <Имя диска съемного носителя>:\tapi\dels31119.doc
- <Имя диска съемного носителя>:\documents.lnk
- <Имя диска съемного носителя>:\tapi\dels30738.doc
- <Имя диска съемного носителя>:\aoc_saq_d_v3_merchant.docx.lnk
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im "mshta.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zipsfx.000\wariable.cmd
- %TEMP%\7zipsfx.001\fjpeh
- %TEMP%\7zipsfx.001\officemodule.exe
- %TEMP%\7zipsfx.001\mshta.cmd
- %TEMP%\7zipsfx.001\id.cmd
- %TEMP%\7zipsfx.001\wget.cmd
- %TEMP%\7zipsfx.001\sosun.cmd
- %TEMP%\7zipsfx.001\usb.cmd
- %TEMP%\7zipsfx.001\statistic.cmd
- %TEMP%\7zipsfx.001\kills.cmd
- %TEMP%\7zipsfx.001\wariables.cmd
- %TEMP%\7zipsfx.001\wariable.cmd
- %TEMP%\7zipsfx.001\hetns.exe
- %TEMP%\7zipsfx.000\ukywc
- %TEMP%\7zipsfx.000\hetns.exe
- %TEMP%\7zipsfx.000\fjpeh
- %TEMP%\7zipsfx.000\officemodule.exe
- %TEMP%\7zipsfx.000\mshta.cmd
- %TEMP%\7zipsfx.000\id.cmd
- %TEMP%\7zipsfx.000\wget.cmd
- %TEMP%\7zipsfx.000\sosun.cmd
- %TEMP%\7zipsfx.000\usb.cmd
- %TEMP%\7zipsfx.000\statistic.cmd
- %TEMP%\7zipsfx.000\kills.cmd
- %TEMP%\7zipsfx.000\wariables.cmd
- %WINDIR%\microsoft\office\module\moduleico.exe
- %TEMP%\7zipsfx.001\ukywc
Присваивает атрибут 'скрытый' для следующих файлов
- <Имя диска съемного носителя>:\read.me
- <Имя диска съемного носителя>:\tapi\dels31119.doc
- <Имя диска съемного носителя>:\tapi\dels561.doc
- <Имя диска съемного носителя>:\tapi\dels4506.doc
- <Имя диска съемного носителя>:\tapi\dels15411.doc
- <Имя диска съемного носителя>:\tapi\dels23800.doc
- <Имя диска съемного носителя>:\tapi\dels28180.doc
- <Имя диска съемного носителя>:\tapi\dels5589.doc
- <Имя диска съемного носителя>:\tapi\dels23538.doc
- <Имя диска съемного носителя>:\tapi\dels16029.doc
- <Имя диска съемного носителя>:\tapi\dels19428.doc
- <Имя диска съемного носителя>:\tapi\dels13110.doc
- <Имя диска съемного носителя>:\tapi\dels30738.doc
Удаляет следующие файлы
- %TEMP%\7zipsfx.000\ukywc
- %TEMP%\7zipsfx.000\fjpeh
- %TEMP%\7zipsfx.000\hetns.exe
- %TEMP%\7zipsfx.000\id.cmd
- %TEMP%\7zipsfx.000\kills.cmd
- %TEMP%\7zipsfx.000\mshta.cmd
- %TEMP%\7zipsfx.000\officemodule.exe
- %TEMP%\7zipsfx.000\ohjtt.cmd
- %TEMP%\7zipsfx.000\statistic.cmd
- %TEMP%\7zipsfx.000\usb.cmd
- %TEMP%\7zipsfx.000\wariable.cmd
- %TEMP%\7zipsfx.000\wariables.cmd
- %TEMP%\7zipsfx.000\wget.cmd
- %TEMP%\7zipsfx.001\ukywc
Перемещает следующие файлы
- %TEMP%\7zipsfx.000\sosun.cmd в %TEMP%\7zipsfx.000\ohjtt.cmd
- %TEMP%\7zipsfx.001\sosun.cmd в %TEMP%\7zipsfx.001\ohjtt.cmd
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\microsoft\office\module\moduleico.exe'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZipSfx.000\Wariable.cmd" sar"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZipSfx.001\Wariable.cmd" sar"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZipSfx.000\Wariable.cmd" sar"
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\phytoremediation.rtf.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C \TAPI\DE...
- '<SYSTEM32>\cmd.exe' /c dir /b /s /a "<Имя диска съемного носителя>:\*.doc"
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\glidescope_review_rev_010.docx.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/...
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\router_manual.rtf.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C \TAPI\DELS4...
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\cveuropeo.doc.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C \TAPI\DELS15411...
- '<SYSTEM32>\cmd.exe' /c dir /b/s "<Имя диска съемного носителя>:\*.lnk"
- '<SYSTEM32>\attrib.exe' +h <Имя диска съемного носителя>:\read.me /s
- '<SYSTEM32>\attrib.exe' +h <Имя диска съемного носителя>:\TAPI /d /s
- '<SYSTEM32>\attrib.exe' +h <Имя диска съемного носителя>:\TAPI\DELS* /s
- '<SYSTEM32>\ping.exe' 8.8.8.8
- '<SYSTEM32>\find.exe' /i "TTL="
- '<SYSTEM32>\reg.exe' QUERY "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden
- '<SYSTEM32>\cmd.exe' /c tasklist /FI "IMAGENAME eq ModuleICO.exe" | find /C "ModuleICO.exe"
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\pubnet_855.rtf.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C \TAPI\DELS1311...
- '<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq ModuleICO.exe"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZipSfx.001\Wariable.cmd" sar"
- '<SYSTEM32>\cmd.exe' /c tasklist /fi "PID eq 1468 " /fo csv
- '<SYSTEM32>\tasklist.exe' /fi "PID eq 1468" /fo csv
- '<SYSTEM32>\cmd.exe' /c wmic process where "Name='ModuleICO.exe'" get ExecutablePath /value| findstr
- '<SYSTEM32>\wbem\wmic.exe' process where "Name='ModuleICO.exe'" get ExecutablePath /value
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\fungalnameauthors.rtf.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C \TAPI\D...
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\weeklysheet1215.doc.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C \TAPI\DEL...
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\WaterLandHealthKano.rtf.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C \TAPI...
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\february_catalogue__2015.doc.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C ...
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\krsweden.rtf.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C \TAPI\DELS16029....
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\lisp_success.doc.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C \TAPI\DELS19...
- '<SYSTEM32>\cmd.exe' /c dir /b /s /a "<Имя диска съемного носителя>:\*.rtf"
- '<SYSTEM32>\find.exe' "0x2"
- '<SYSTEM32>\cmd.exe' /c dir /s /b %WINDIR%\Installer\wordicon.exe
- '<SYSTEM32>\cmd.exe' /c vol c
- '<SYSTEM32>\cmd.exe' /c wmic process get parentprocessid, commandline /value
- '<SYSTEM32>\wbem\wmic.exe' process get parentprocessid, commandline /value
- '<SYSTEM32>\cmd.exe' /c tasklist /fi "PID eq 3868 " /fo csv
- '<SYSTEM32>\tasklist.exe' /fi "PID eq 3868" /fo csv
- '<SYSTEM32>\cmd.exe' /c wmic process where "Name='<Имя файла>.exe'" get ExecutablePath /value| findstr
- '<SYSTEM32>\wbem\wmic.exe' process where "Name='<Имя файла>.exe'" get ExecutablePath /value
- '<SYSTEM32>\findstr.exe'
- '<SYSTEM32>\cmd.exe' /c tasklist /nh /fi "imagename eq ModuleICO.exe" | find /c "ModuleICO.exe"
- '<SYSTEM32>\find.exe' /c "ModuleICO.exe"
- '<SYSTEM32>\tasklist.exe' /nh /fi "imagename eq ModuleICO.exe"
- '<SYSTEM32>\cmd.exe' /S /D /c" ver "
- '<SYSTEM32>\find.exe' /i "5.1"
- '<SYSTEM32>\systeminfo.exe'
- '<SYSTEM32>\cmd.exe' /c dir /b/s "<Имя диска съемного носителя>:\*.exe"
- '<SYSTEM32>\schtasks.exe' /Query /tn ModuleICO
- '<SYSTEM32>\schtasks.exe' /Create /sc MINUTE /mo 12 /ru "SYSTEM" /tn ModuleICO /tr "%WINDIR%\Microsoft\Office\Module\ModuleICO.exe"
- '<SYSTEM32>\cmd.exe' /c WMIC LogicalDisk Where (DriveType=2 And MediaType=NULL) Get Name,VolumeSerialNumber /Value|Find "="
- '<SYSTEM32>\wbem\wmic.exe' LogicalDisk Where (DriveType=2 And MediaType=NULL) Get Name,VolumeSerialNumber /Value
- '<SYSTEM32>\find.exe' "="
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\Documents.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C %WINDIR%\explorer.e...
- '<SYSTEM32>\attrib.exe' +h "<Имя диска съемного носителя>:\read.me"
- '<SYSTEM32>\find.exe' "mshta.exe"
- '<SYSTEM32>\tasklist.exe'
- '<SYSTEM32>\attrib.exe' +h <Имя диска съемного носителя>:\TAPI
- '<SYSTEM32>\attrib.exe' -h "<Имя диска съемного носителя>:\*.*" /s
- '<SYSTEM32>\cmd.exe' /c dir /b/s <Имя диска съемного носителя>:\read.me
- '<SYSTEM32>\cmd.exe' /c dir /b/s "<Имя диска съемного носителя>:\*.lnk.lnk"
- '<SYSTEM32>\mshta.exe' vbscript:Execute("Set y=CreateObject(""WScript.Shell"").CreateShortcut(""<Имя диска съемного носителя>:\aoc_saq_d_v3_merchant.docx.lnk""):y.TargetPath=""<SYSTEM32>\cmd.exe"":y.Arguments=""/C \T...
