Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\net.exe' stop BEService
- '<SYSTEM32>\net.exe' stop EasyAntiCheat
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Regmonclass', WindowName: ''
- ClassName: 'Filemonclass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\41f26ec5
Удаляет следующие файлы
- <Текущая директория>\41f26ec5
Сетевая активность
Подключается к
- '18#.#0.109.222':666
Другое
Ищет следующие окна
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\net.exe' stop BEService' (со скрытым окном)
- '<SYSTEM32>\net.exe' stop EasyAntiCheat' (со скрытым окном)
- '<SYSTEM32>\powercfg.exe' -h off' (со скрытым окном)
- '<SYSTEM32>\ipconfig.exe' -flushdns' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\powercfg.exe' -h off
- '<SYSTEM32>\net1.exe' stop EasyAntiCheat
- '<SYSTEM32>\net1.exe' stop BEService
- '<SYSTEM32>\ipconfig.exe' -flushdns
- '<SYSTEM32>\cmd.exe' /c for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
- '<SYSTEM32>\cmd.exe' /c wevtutil.exe el
