Добавляет корневой сертификат
Изменяет значение AutoConfigURL на 'https://p3efippdsssrqxbx.onion.to/jIlde0c4.js?ip=95.211.190.198'
Изменяет значение AutoConfigURL на 'https://p3efippdsssrqxbx.onion.to/DveuVpNn.js?ip=95.211.190.198'
Изменяет значение AutoConfigURL на 'https://p3efippdsssrqxbx.onion.to/ktapifvV.js?ip=95.211.190.198'
Изменяет значение AutoConfigURL на 'https://p3efippdsssrqxbx.onion.to/9MEyPBKg.js?ip=95.211.190.198'
Изменяет значение AutoConfigURL на 'https://p3efippdsssrqxbx.onion.to/ORb1N0Ph.js?ip=95.211.190.198'
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Unrestricted -File "%TEMP%\8GAayv19.ps1"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Unrestricted -File "%TEMP%\q80lbwFe.ps1"
- '<SYSTEM32>\taskkill.exe' /F /im iexplore.exe' (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /F /im firefox.exe' (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /F /im chrome.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Unrestricted -File "%TEMP%\8GAayv19.ps1"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\gtdkuon9.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES9F7F.tmp" "%TEMP%\CSC9F6E.tmp"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Unrestricted -File "%TEMP%\q80lbwFe.ps1"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\swld1kqc.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES657.tmp" "%TEMP%\CSC637.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\gtdkuon9.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES9F7F.tmp" "%TEMP%\CSC9F6E.tmp"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\swld1kqc.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES657.tmp" "%TEMP%\CSC637.tmp"