Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\cofax
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\oseebb9.tmp'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\wd4sx.wmf
- %TEMP%\oseebb9.tmp
- %WINDIR%\temp\~f426.tmp
- %WINDIR%\temp\~f427.tmp
- %PROGRAMDATA%\confax\confax.exe
- %PROGRAMDATA%\confax\lbtserv.dll
Удаляет следующие файлы
- %WINDIR%\temp\~f426.tmp
- %WINDIR%\temp\~f427.tmp
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /delete /tn "Cofax" /f' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /sc minute /mo 10 /tn "Cofax" /tr "%PROGRAMDATA%\Confax\confax.exe" /ru "system"' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /delete /tn "Cofax" /f
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /sc minute /mo 10 /tn "Cofax" /tr "%PROGRAMDATA%\Confax\confax.exe" /ru "system"
- '%WINDIR%\syswow64\schtasks.exe' /delete /tn "Cofax" /f
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 10 /tn "Cofax" /tr "%PROGRAMDATA%\Confax\confax.exe" /ru "system"
