Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im explorer.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\f634.tmp\f635.tmp\f646.bat
- %APPDATA%\fakeerror.vbs
- %APPDATA%\invisible.vbs
- %APPDATA%\trollololo.mp4
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\fakeerror.vbs"
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\F634.tmp\F635.tmp\F646.bat <Полный путь к файлу>"' (со скрытым окном)
- '%ProgramFiles(x86)%\windows media player\wmplayer.exe' /prefetch:6 /Open "%APPDATA%\trollololo.mp4"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\F634.tmp\F635.tmp\F646.bat <Полный путь к файлу>"
- '<SYSTEM32>\wscript.exe' "invisible.vbs" "trollololo.mp4"
- '%ProgramFiles(x86)%\windows media player\wmplayer.exe' /prefetch:6 /Open "%APPDATA%\trollololo.mp4"
- '<SYSTEM32>\cmd.exe'
