Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM loader.exe
- '<SYSTEM32>\taskkill.exe' /F /IM Agent.exe
- '<SYSTEM32>\taskkill.exe' /F /IM Battle.net.exe
- '<SYSTEM32>\taskkill.exe' /F /IM ModernWarfare.exe
- '<SYSTEM32>\taskkill.exe' /F /IM Vanguard.exe
- '<SYSTEM32>\taskkill.exe' /IM svchost.exe /F
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\wudfhost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\evb88ee.tmp
- %TEMP%\evb92a0.tmp
- %TEMP%\evb92a1.tmp
Сетевая активность
Подключается к
- 'ke##uth.uk':443
- 'ke##uth.win':443
TCP
Другие
- 'ke##uth.uk':443
UDP
- DNS ASK ke##uth.uk
- DNS ASK ke##uth.win
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: '' WindowName: 'View Available Networks'
Создает и запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM loader.exe' (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /F /IM Agent.exe' (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /F /IM Battle.net.exe' (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /F /IM ModernWarfare.exe' (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /F /IM Vanguard.exe' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start cmd /C "color 4 && title Error && echo You are blacklisted from the application && timeout /t 3"
- '<SYSTEM32>\cmd.exe' /C taskkill /IM svchost.exe /F
- '<SYSTEM32>\cmd.exe' /C "color 4 && title Error && echo You are blacklisted from the application && timeout /t 3"
- '<SYSTEM32>\timeout.exe' /t 3
- '<SYSTEM32>\svchost.exe' -k DcomLaunch
- '<SYSTEM32>\svchost.exe' -k RPCSS
- '<SYSTEM32>\svchost.exe' -k LocalSystemNetworkRestricted
