Добавляет корневой сертификат
Изменяет значение AutoConfigURL на 'https://thlbsd334huntrrr.onion.link/RM5w3Lf8.js?ip=95.211.190.199'
Изменяет значение AutoConfigURL на 'https://thlbsd334huntrrr.onion.link/oTOmECfW.js?ip=95.211.190.199'
Изменяет значение AutoConfigURL на 'https://thlbsd334huntrrr.onion.link/JB3HX5kw.js?ip=95.211.190.199'
Изменяет значение AutoConfigURL на 'https://thlbsd334huntrrr.onion.link/JnKmFcEQ.js?ip=95.211.190.199'
Изменяет значение AutoConfigURL на 'https://thlbsd334huntrrr.onion.link/dENJ9Zoc.js?ip=95.211.190.199'
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\RarSFX0\1XnE94pp879901.js"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ep Unrestricted -f "%TEMP%\H2vVwf12.ps1"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Unrestricted -File "%TEMP%\27dqwCuU.ps1"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ep Unrestricted -f "%TEMP%\wtP92AmO.ps1"
- '%WINDIR%\syswow64\taskkill.exe' /F /im iexplore.exe' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /F /im firefox.exe' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /F /im chrome.exe' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ep Unrestricted -f "%TEMP%\H2vVwf12.ps1"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\a4l25m1u.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESCF70.tmp" "%TEMP%\CSCCF6F.tmp"' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Unrestricted -File "%TEMP%\27dqwCuU.ps1"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\z8ewptju.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2EDD.tmp" "%TEMP%\CSC2ECD.tmp"' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ep Unrestricted -f "%TEMP%\wtP92AmO.ps1"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\a4l25m1u.cmdline"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESCF70.tmp" "%TEMP%\CSCCF6F.tmp"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\z8ewptju.cmdline"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2EDD.tmp" "%TEMP%\CSC2ECD.tmp"