Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' -iM "<Имя файла>.exe" -F
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\b1_cmzwfc.exe
- %TEMP%\yp_rdpqu.c
- %TEMP%\w1q9jg8.u0o
- %TEMP%\1iw8.p
- %TEMP%\zmtuyf.h
- nul
Удаляет следующие файлы
- %TEMP%\yp_rdpqu.c
- %TEMP%\w1q9jg8.u0o
- %TEMP%\1iw8.p
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\b1_cmzwfc.exe' /PZPeiTPWndbxM8HNWh2FPPmM~e
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C TYPE "<Полный путь к файлу>" > B1_cMzwFC.exe && START B1_cMzwFC.exe /PZPeiTPWndbxM8HNWh2FPPmM~e & If "" == "" for %J in ("<Полны...
- '%WINDIR%\syswow64\cmd.exe' /C TYPE "%TEMP%\B1_cMzwFC.exe" > B1_cMzwFC.exe && START B1_cMzwFC.exe /PZPeiTPWndbxM8HNWh2FPPmM~e & If "/PZPeiTPWndbxM8HNWh2FPPmM~e " == "" ...
- '%WINDIR%\syswow64\cmd.exe' /Q /c Echo | SeT /P = "MZ" > 1IW8.P & COPy /Y /B 1IW8.p + YP_RdPQU.C + W1q9JG8.u0O ZMTuYF.H > NUl & stA...
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" Echo "
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" SeT /P = "MZ" 1>1IW8.P"
- '%WINDIR%\syswow64\regsvr32.exe' -U ZMtuYf.H /S
