Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f -Im "<Имя файла>.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\co2r.exe
- %TEMP%\przokg.g
- nul
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\co2r.exe' /PbVE~CppnkA1FKRfdHMuev
- '%WINDIR%\syswow64\cmd.exe' /c cOPY /Y "<Полный путь к файлу>" co2R.exe> nUL &&STARt co2R.exe /PbVE~CppnkA1FKRfdHMuev &If "" == "" for %b in ("<Полный путь к файлу>" ) do ...' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c cOPY /Y "%TEMP%\co2R.exe" co2R.exe> nUL &&STARt co2R.exe /PbVE~CppnkA1FKRfdHMuev &If "/PbVE~CppnkA1FKRfdHMuev " == "" for %b in ("%TEMP%\co2R.exe" ) ...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\mshta.exe' VbSCRiPt: ClosE( CreAteObjeCt ( "wsCRIpT.ShEll" ). RUN ( "<SYSTEM32>\cmd.exe /c cOPY /Y ""<Полный путь к файлу>"" co2R.exe > nUL ...
- '%WINDIR%\syswow64\cmd.exe' /c cOPY /Y "<Полный путь к файлу>" co2R.exe> nUL &&STARt co2R.exe /PbVE~CppnkA1FKRfdHMuev &If "" == "" for %b in ("<Полный путь к файлу>" ) do ...
- '%WINDIR%\syswow64\mshta.exe' VbSCRiPt: ClosE( CreAteObjeCt ( "wsCRIpT.ShEll" ). RUN ( "<SYSTEM32>\cmd.exe /c cOPY /Y ""%TEMP%\co2R.exe"" co2R.exe > nUL &&ST...
- '%WINDIR%\syswow64\cmd.exe' /c cOPY /Y "%TEMP%\co2R.exe" co2R.exe> nUL &&STARt co2R.exe /PbVE~CppnkA1FKRfdHMuev &If "/PbVE~CppnkA1FKRfdHMuev " == "" for %b in ("%TEMP%\co2R.exe" ) ...
- '%WINDIR%\syswow64\regsvr32.exe' -s .\PrZOKG.G
