Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im "<Имя файла>.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\unicode32.tmp
- %LOCALAPPDATA%\wmsetup.tmp
- <PATH_SAMPLE>\ВЎВ¶2020ВєВЈГ⻪èë·ç²é¡·ô¼¸åº¯ .pdf
- <PATH_SAMPLE>\ВёВЅВјГѕ1-¡¶º£Г⻪èë·ç²é¡·îäï×·ã츽ééü .pdf
- <PATH_SAMPLE>\ВёВЅВјГѕ2-¡¶º£Г⻪èë·ç²é¡·îäï×è뿯è·èﺯ£¨´úðВò飩.docx
Удаляет следующие файлы
- %TEMP%\unicode32.tmp
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\temp.tmp
Сетевая активность
Подключается к
- '19#.#36.160.114':80
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' CCharLower' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' %temp%\temp.tmp' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' CCharLower
- '%WINDIR%\syswow64\cmd.exe' %temp%\temp.tmp
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 1
- '%WINDIR%\syswow64\rundll32.exe' "%LOCALAPPDATA%\wmsetup.tmp" CCharLower
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 4
