Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' -f -im "╨Г╖╓╢╙╧╡┴╨╚Г‘╣π╕Вµ▓╣╢Г.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bt1834.bat
- <Текущая директория>\╫╘╔▒.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bt1834.bat
- <Текущая директория>\╫╘╔▒.bat
Удаляет следующие файлы
- <Текущая директория>\╫╘╔▒.bat
- %TEMP%\bt1834.bat
Изменяет файл HOSTS.
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\bt1834.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\bt1834.bat
- '%WINDIR%\syswow64\mode.com' con cols=36 lines=5
- '%WINDIR%\syswow64\attrib.exe' -s -h -a -r <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\attrib.exe' +r <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\179web.com\www" /v http /t reg_dword /d "0000004" /f
- '%WINDIR%\syswow64\attrib.exe' +R +A +S +H ╫╘╔▒.bat
