Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\birlesen.exe
- C:\hidman.exe
- %WINDIR%\syswow64\scvhost.exe
- %TEMP%\ixp000.tmp\delme.bat
Удаляет следующие файлы
- C:\hidman.exe
- %TEMP%\ixp000.tmp\birlesen.exe
- %WINDIR%\syswow64\scvhost.exe
Подменяет следующие файлы
- %TEMP%\ixp000.tmp\delme.bat
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\birlesen.exe'
- 'C:\hidman.exe'
- '%WINDIR%\syswow64\scvhost.exe'
- 'C:\hidman.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c copy "C:\HIDMAN.EXE" "<SYSTEM32>\scvhost.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\scvhost.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c delme.bat' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c copy "%WINDIR%\SysWOW64\scvhost.exe" "<SYSTEM32>\scvhost.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del c:\HIDMAN.EXE' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy "C:\HIDMAN.EXE" "<SYSTEM32>\scvhost.exe"
- '%WINDIR%\syswow64\cmd.exe' /c delme.bat
- '%WINDIR%\syswow64\cmd.exe' /c copy "%WINDIR%\SysWOW64\scvhost.exe" "<SYSTEM32>\scvhost.exe"
- '%WINDIR%\syswow64\cmd.exe' /c del c:\HIDMAN.EXE
