Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM OneDrive.exe
Изменения в файловой системе
Изменяет следующие файлы
- %HOMEPATH%\desktop\contosoroot_1.cer
- %HOMEPATH%\desktop\dashborder_144.bmp
- %HOMEPATH%\desktop\dashborder_96.bmp
- %HOMEPATH%\desktop\default.bmp
- %HOMEPATH%\desktop\february_catalogue__2015.doc
- %HOMEPATH%\desktop\file_p_00000000_1371597592.docx
- %HOMEPATH%\desktop\hanni_umami_chapter.doc
- %HOMEPATH%\desktop\holycrosschurchinstructions.docx
- %HOMEPATH%\desktop\icq.lnk
- %HOMEPATH%\desktop\mail.ru agent.lnk
- %HOMEPATH%\desktop\qip 2012.lnk
- %HOMEPATH%\desktop\sdkfailsafeemulator.cer
- %HOMEPATH%\desktop\telegram.lnk
- %HOMEPATH%\desktop\total commander 64 bit.lnk
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Другое
Запускает на исполнение
- '%ProgramFiles%\java\jre1.8.0_45\bin\javaw.exe' -Xms256m -Xmx2048m -classpath "<Полный путь к файлу>;rsyntaxtextarea-3.1.3.jar;AppleJavaExtensions-1.4.jar;procyon-core-0.5.36.jar;procyon-expressions-0.5.36.jar;procyon-reflection-0.5.36.jar;p...
- '<SYSTEM32>\reg.exe' delete HKEY_USERS /f
- '<SYSTEM32>\reg.exe' delete HKEY_CURRENT_CONFIG /f
- '<SYSTEM32>\reg.exe' delete HKEY_CURRENT_USER /f
- '<SYSTEM32>\reg.exe' delete HKEY_CLASSES_ROOT /f
- '<SYSTEM32>\reg.exe' delete HKEY_LOCAL_MACHINE /f
