Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\182be0c5cdcd5072bb1864cdee4d3d6e\1aabac6d068eef6a7bad3fdf50a05cc8\aa\32250170a0dca92d53ec9624f336ca24.vbs"
- <SYSTEM32>\wbem\wmiadap.exe /R /T
- <SYSTEM32>\cmd.exe /c ""%PROGRAM_FILES%\182be0c5cdcd5072bb1864cdee4d3d6e\1aabac6d068eef6a7bad3fdf50a05cc8\182be0c5cdcd5072bb1864cdee4d3d6e.bat" "
- <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\182be0c5cdcd5072bb1864cdee4d3d6e\1aabac6d068eef6a7bad3fdf50a05cc8\aa\182be0c5cdcd5072bb1864cdee4d3d6e.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\182be0c5cdcd5072bb1864cdee4d3d6e\1aabac6d068eef6a7bad3fdf50a05cc8\aa\32250170a0dca92d53ec9624f336ca24.vbs
- %PROGRAM_FILES%\182be0c5cdcd5072bb1864cdee4d3d6e\1aabac6d068eef6a7bad3fdf50a05cc8\aa\182be0c5cdcd5072bb1864cdee4d3d6e.vbs
- %HOMEPATH%\Recent\182be0c5cdcd5072bb1864cdee4d3d6e.lnk
- %HOMEPATH%\Recent\32250170a0dca92d53ec9624f336ca24.lnk
- %HOMEPATH%\Recent\aa.lnk
- %TEMP%\$inst\2.tmp
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini
- %TEMP%\$inst\temp_0.tmp
- %PROGRAM_FILES%\182be0c5cdcd5072bb1864cdee4d3d6e\1aabac6d068eef6a7bad3fdf50a05cc8\182be0c5cdcd5072bb1864cdee4d3d6e.bat
- %PROGRAM_FILES%\182be0c5cdcd5072bb1864cdee4d3d6e\1aabac6d068eef6a7bad3fdf50a05cc8\aa\pipi.ska
Удаляет следующие файлы:
- %HOMEPATH%\Recent\aa.lnk
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Перемещает следующие файлы:
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini в <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.h в <SYSTEM32>\wbem\Performance\WmiApRpl.h
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- '19#.#41.191.138':1999
- 'localhost':1036
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
