Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall set opmode enable
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Malwarebytes" dir=out action=block program="%ProgramFiles%\Malwarebytes\Anti-Malware\MBAMService.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\9433.tmp\s.bat
- nul
Удаляет следующие файлы
- %TEMP%\9433.tmp\s.bat
Изменяет файл HOSTS.
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\9433.tmp\S.bat <Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\9433.tmp\S.bat <Полный путь к файлу>"
- '<SYSTEM32>\attrib.exe' +h +s "\gecici_proje_klasoru"
- '<SYSTEM32>\attrib.exe' +h +s "\gecici_proje_klasoru\S.exe"
- '<SYSTEM32>\attrib.exe' +h +s "\gecici_proje_klasoru\M.exe"
- '<SYSTEM32>\attrib.exe' +h +s "\gecici_proje_klasoru\UN3.exe"
- '<SYSTEM32>\attrib.exe' +h +s "\gecici_proje_klasoru\MBCleaner.exe"
- '<SYSTEM32>\attrib.exe' +h +s "\gecici_proje_klasoru\TempCleaner.exe"
- '<SYSTEM32>\attrib.exe' +h +s "\gecici_proje_klasoru\DD.exe"
- '<SYSTEM32>\attrib.exe' +h +s "\gecici_proje_klasoru\E.exe"
- '<SYSTEM32>\attrib.exe' +h +s "\gecici_proje_klasoru\K.png"
- '<SYSTEM32>\attrib.exe' +h +s "\gecici_proje_klasoru\K2.png"
- '<SYSTEM32>\netsh.exe' advfirewall reset
- '<SYSTEM32>\attrib.exe' -r <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "keystone.mwbsys.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "serius.mwbsys.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\attrib.exe' +r <DRIVERS>\etc\hosts
