Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /Im "<Имя файла>.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\flosfhtp.exe
- %TEMP%\_46tf3ak.t
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\flosfhtp.exe' -pROVaJd5ZmVUE
- '%WINDIR%\syswow64\cmd.exe' /q /c COpy /y "<Полный путь к файлу>" fLoSfHTP.exe> NUl &&sTart fLoSfHTP.exe -pROVaJd5ZmVUE& iF "" == "" for %b IN ("<Полный путь к файлу>" ) do taskkill ...' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /q /c COpy /y "%TEMP%\fLoSfHTP.exe" fLoSfHTP.exe> NUl &&sTart fLoSfHTP.exe -pROVaJd5ZmVUE& iF "-pROVaJd5ZmVUE" == "" for %b IN ("%TEMP%\fLoSfHTP.exe" ) do t...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\mshta.exe' VBsCrIPT: CLoSe ( cReATeOBject ( "wScRipt.sHeLl" ). run ( "<SYSTEM32>\cmd.exe /q /c COpy /y ""<Полный путь к файлу>"" fLoSfHTP.exe > NUl &&s...
- '%WINDIR%\syswow64\cmd.exe' /q /c COpy /y "<Полный путь к файлу>" fLoSfHTP.exe> NUl &&sTart fLoSfHTP.exe -pROVaJd5ZmVUE& iF "" == "" for %b IN ("<Полный путь к файлу>" ) do taskkill ...
- '%WINDIR%\syswow64\mshta.exe' VBsCrIPT: CLoSe ( cReATeOBject ( "wScRipt.sHeLl" ). run ( "<SYSTEM32>\cmd.exe /q /c COpy /y ""%TEMP%\fLoSfHTP.exe"" fLoSfHTP.exe > NUl &&sTa...
- '%WINDIR%\syswow64\cmd.exe' /q /c COpy /y "%TEMP%\fLoSfHTP.exe" fLoSfHTP.exe> NUl &&sTart fLoSfHTP.exe -pROVaJd5ZmVUE& iF "-pROVaJd5ZmVUE" == "" for %b IN ("%TEMP%\fLoSfHTP.exe" ) do t...
- '%WINDIR%\syswow64\regsvr32.exe' /s .\_46TF3AK.T /u
