Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im MC17.exe
- '<SYSTEM32>\taskkill.exe' /f /im PP.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\qb10549a.00\cd.1.exe
- %TEMP%\qb10549a.00\cm.exe
- %TEMP%\qb10549a.00\cnc.1.exe
- %TEMP%\qb10549a.00\cnu.bat
- %TEMP%\qb10549a.00\cs.1.exe
- %TEMP%\qb10549a.00\gb.1.exe
- %TEMP%\qb10549a.00\gb.bat
- %TEMP%\qb10549a.00\jb.bat
- %TEMP%\qb10549a.00\mm.exe
- %TEMP%\qb10549a.00\pcs.bat
- %TEMP%\qb10549a.00\pp.exe
- %TEMP%\qb10549a.00\rcc.1.exe
- %TEMP%\qb10549a.00\rhc.exe
- %TEMP%\qb10549a.00\wl.bat
- %TEMP%\qb10549a.00\cc.1.exe
- %TEMP%\qb10570b.00\cm.exe
Удаляет следующие файлы
- %TEMP%\qb10549a.00\cd.1.exe
- %TEMP%\qb10549a.00\cm.exe
- %TEMP%\qb10549a.00\cnc.1.exe
- %TEMP%\qb10549a.00\cnu.bat
- %TEMP%\qb10549a.00\cs.1.exe
- %TEMP%\qb10549a.00\gb.1.exe
- %TEMP%\qb10549a.00\gb.bat
- %TEMP%\qb10549a.00\jb.bat
- %TEMP%\qb10549a.00\mm.exe
- %TEMP%\qb10549a.00\pcs.bat
- %TEMP%\qb10549a.00\pp.exe
- %TEMP%\qb10549a.00\rcc.1.exe
- %TEMP%\qb10549a.00\rhc.exe
- %TEMP%\qb10549a.00\wl.bat
- %TEMP%\qb10549a.00\cc.1.exe
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\qb10549a.00\rhc.exe' %TEMP%\qb10549A.00\PP.exe
- '%TEMP%\qb10549a.00\pp.exe'
- '%TEMP%\qb10570b.00\cm.exe' @ /HID
- '%TEMP%\qb10549a.00\pp.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\tasklist.exe' /NH /FI "imagename eq Cadency.exe"
- '<SYSTEM32>\find.exe' /i "Cadency.exe"
- '<SYSTEM32>\tasklist.exe' /NH /FI "imagename eq MC17.exe"
- '<SYSTEM32>\find.exe' /i "MC17.exe"
- '<SYSTEM32>\tasklist.exe' /NH /FI "imagename eq PP.exe"
- '<SYSTEM32>\find.exe' /i "PP.exe"
