Техническая информация
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nss6fc3.tmp
- %TEMP%\nsi6fd4.tmp\system.dll
- <DRIVERS>\etc\hosts-wintousb
- %TEMP%\nsi6fd4.tmp\nsexec.dll
- %TEMP%\nsi6fd4.tmp\registry.dll
Удаляет следующие файлы
- <DRIVERS>\etc\hosts-wintousb
- %TEMP%\nsi6fd4.tmp\nsexec.dll
- %TEMP%\nsi6fd4.tmp\registry.dll
- %TEMP%\nsi6fd4.tmp\system.dll
Изменяет файл HOSTS.
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "echo 0.0.0.0 www.ea###efi.com>> <DRIVERS>\etc\hosts"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cofire.exe' "<SYSTEM32>\sysmain.dll" "<SYSTEM32>\svchost.exe"
- '%WINDIR%\syswow64\cmd.exe' /c "echo 0.0.0.0 www.ea###efi.com>> <DRIVERS>\etc\hosts"
- '<SYSTEM32>\cofire.exe' "<SYSTEM32>\rpcss.dll" "<SYSTEM32>\svchost.exe"
