Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /IM KerishDoctor.exe /f
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut1.tmp
- C:\gecici_proje_klasoru\grey.gif
- %TEMP%\aut2.tmp
- C:\gecici_proje_klasoru\klp2.png
- %TEMP%\aut3.tmp
- C:\gecici_proje_klasoru\doctor.reg
- %TEMP%\aut4.tmp
- C:\gecici_proje_klasoru\l.reg
- %TEMP%\aut5.tmp
- C:\gecici_proje_klasoru\son.exe
- %TEMP%\aut7.tmp
- C:\gecici_proje_klasoru\Г§.exe
- %TEMP%\8.tmp\son.bat
Удаляет следующие файлы
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut4.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut7.tmp
- %TEMP%\8.tmp\son.bat
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- 'C:\gecici_proje_klasoru\son.exe'
- 'C:\gecici_proje_klasoru\Г§.exe'
- '%WINDIR%\regedit.exe' /s "C:\gecici_proje_klasoru\Doctor.reg"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\8.tmp\son.bat" C:\gecici_proje_klasoru\son.exe"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ping -n 3 127.0.0.1' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\regedit.exe' /s "C:\gecici_proje_klasoru\Doctor.reg"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\8.tmp\son.bat" C:\gecici_proje_klasoru\son.exe"
- '<SYSTEM32>\cmd.exe' /c ping -n 3 127.0.0.1
- '<SYSTEM32>\ping.exe' -n 3 127.0.0.1
