Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /T /IM Polestar.exe
- '<SYSTEM32>\taskkill.exe' /F /T /IM Zhanba.exe
- '<SYSTEM32>\taskkill.exe' /F /T /IM GameDataManager.exe
- '<SYSTEM32>\taskkill.exe' /F /T /IM client.exe
- '<SYSTEM32>\taskkill.exe' /F /T /IM Taskhast.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut1.tmp
- %HOMEPATH%\desktop\好.123.exe
- %TEMP%\aut2.tmp
- %WINDIR%\bootsafe.bat
- %TEMP%\aut3.tmp
- %WINDIR%\pidsafe.bat
- %TEMP%\aut4.tmp
- %WINDIR%\md5safe.bat
- %TEMP%\aut5.tmp
- %WINDIR%\lsm.exe
- %TEMP%\aut6.tmp
Удаляет следующие файлы
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut4.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut6.tmp
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\lsm.exe'
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\BootSafe.bat' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\BootSafe.bat
- '<SYSTEM32>\cmd.exe' /S /D /c" echo y"
- '<SYSTEM32>\cacls.exe' C:\Users\Administrator\AppData\Local\Temp\x64 /c /p everyone:n
- '<SYSTEM32>\cacls.exe' C:\Users\Administrator\AppData\Local\Temp\x86 /c /p everyone:n
- '<SYSTEM32>\cacls.exe' C:\Users\Administrator\AppData\Local\Temp\colhost.exe /c /p everyone:n
- '<SYSTEM32>\cacls.exe' "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar" /c /p everyone:n
