Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' -f /im "<Имя файла>.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\pepup.exe
- %TEMP%\yysr4u58.ylf
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\pepup.exe' -PW7sW5hbeVIKqf
- '%WINDIR%\syswow64\cmd.exe' /Q /C CopY /Y "<Полный путь к файлу>" pepuP.exe> nUl && stArt pepuP.exe -PW7sW5hbeVIKqf & If "" == "" for %w In ( "<Полный путь к файлу>...' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /Q /C CopY /Y "%TEMP%\pepuP.exe" pepuP.exe> nUl && stArt pepuP.exe -PW7sW5hbeVIKqf & If "-PW7sW5hbeVIKqf " == "" for %w In ( "%TEMP%...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\mshta.exe' vbscRipT:clOSE ( CREAteObJeCt ( "wSCrIPt.ShElL" ). ruN ("cMD.EXe /Q /C CopY /Y ""<Полный путь к файлу>"" pepuP.exe> nUl && stArt ...
- '%WINDIR%\syswow64\cmd.exe' /Q /C CopY /Y "<Полный путь к файлу>" pepuP.exe> nUl && stArt pepuP.exe -PW7sW5hbeVIKqf & If "" == "" for %w In ( "<Полный путь к файлу>...
- '%WINDIR%\syswow64\mshta.exe' vbscRipT:clOSE ( CREAteObJeCt ( "wSCrIPt.ShElL" ). ruN ("cMD.EXe /Q /C CopY /Y ""%TEMP%\pepuP.exe"" pepuP.exe> nUl && stArt pep...
- '%WINDIR%\syswow64\cmd.exe' /Q /C CopY /Y "%TEMP%\pepuP.exe" pepuP.exe> nUl && stArt pepuP.exe -PW7sW5hbeVIKqf & If "-PW7sW5hbeVIKqf " == "" for %w In ( "%TEMP%...
- '%WINDIR%\syswow64\regsvr32.exe' .\YYsr4U58.ylF -S
