Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /im Acrobat.exe /t /f
- '%WINDIR%\syswow64\taskkill.exe' /im acrotray.exe /t /f
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\adobe\acrobat dc\acrobat\acrobat.dll
- %ProgramFiles(x86)%\adobe\acrobat dc\acrobat\acrodistdll.dll
- %ProgramFiles(x86)%\adobe\acrobat dc\acrobat\acrotray.exe
- %ProgramFiles(x86)%\adobe\acrobat dc\acrobat\salazar.exe
- nul
- %TEMP%\rarsfx0\hedit.exe
- %TEMP%\aut383f.tmp
- %TEMP%\bnsqimv
- %TEMP%\rarsfx0\hedit.ini
Удаляет следующие файлы
- %TEMP%\aut383f.tmp
- %TEMP%\bnsqimv
- %TEMP%\rarsfx0\hedit.exe
- %TEMP%\rarsfx0\hedit.ini
Изменяет файл HOSTS.
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\adobe\acrobat dc\acrobat\salazar.exe'
- '%TEMP%\rarsfx0\hedit.exe' /a lm.licenses.adobe.com lmlicenses.wip4.adobe.com lm-prd-da1.licenses.adobe.com activate.adobe.com activate.wip4.adobe.com practivate.adobe.com practivate-da1.adobe.com na1r.services.adobe.com...
- '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c title SALAZAR &taskkill /im Acrobat.exe /t /f&taskkill /im acrotray.exe /t /f&cls&echo.&echo Loading.&ping -n 2 localhost >nul&cls&echo.&echo Loading..&ping -n 2 localhost >nul&cls&echo.&e...
- '%WINDIR%\syswow64\ping.exe' -n 2 localhost
- '<SYSTEM32>\ipconfig.exe' /flushdns
- '%WINDIR%\syswow64\cmd.exe' /c title SALAZAR &color 02&echo.&echo Successfully completed.&ping -n 2 localhost >nul&cls&echo.&echo successfully completed..&ping -n 2 localhost >nul&cls&echo.&echo successfully completed....
