Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im explorer.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\eee.hta
- %TEMP%\eee.vbs
- %TEMP%\vmfreeze.exe
Сетевая активность
Подключается к
- 'vi#######.wikia.nocookie.net':80
TCP
Запросы HTTP GET
- http://vi#######.wikia.nocookie.net/sims/images/0/0b/Hypnotoad.gif/revision/latest?cb###############
UDP
- DNS ASK vi#######.wikia.nocookie.net
Другое
Ищет следующие окна
- ClassName: 'HTML Application Host Window Class' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\eee.vbs"
- '%TEMP%\vmfreeze.exe'
- '%WINDIR%\syswow64\taskkill.exe' /f /im explorer.exe' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\eee.hta"
