Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\net.exe' stop wuauserv
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\a7b3.tmp\a7c4.tmp\a7c5.bat
- nul
Удаляет следующие файлы
- %WINDIR%\softwaredistribution\DataStore\logs\edb.chk
- %WINDIR%\softwaredistribution\DataStore\logs\edb.log
- %WINDIR%\softwaredistribution\DataStore\logs\edb00002.log
- %WINDIR%\softwaredistribution\download\94802b1b3adeeb4feecfe2afe338b652\cbshandler\state
- %TEMP%\a7b3.tmp\a7c4.tmp\a7c5.bat
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\A7B3.tmp\A7C4.tmp\A7C5.bat <Полный путь к файлу>"
- '<SYSTEM32>\net1.exe' stop wuauserv
- '<SYSTEM32>\reg.exe' DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
- '<SYSTEM32>\reg.exe' DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
- '<SYSTEM32>\reg.exe' DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer /t REG_SZ /d "http://jr#########s.jdjr.360buyAD.local:8530" /f
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUStatusServer /t REG_SZ /d "http://jr#########s.jdjr.360buyAD.local:8530" /f
- '<SYSTEM32>\net.exe' start wuauserv
- '<SYSTEM32>\net1.exe' start wuauserv
- '<SYSTEM32>\wuauclt.exe' /resetauthorization /detectnow
- '<SYSTEM32>\cmd.exe' /S /D /c" ver"
- '<SYSTEM32>\findstr.exe' /r /i " [??? 6.1.*]"
- '<SYSTEM32>\wuapp.exe'
