Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM WmiPrvSE.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\b663.tmp\b664.tmp\b665.bat
- %TEMP%\b663.tmp\123.exe
- %TEMP%\b663.tmp\msvcp140d.dll
- %TEMP%\b663.tmp\sys.sys
- %TEMP%\b663.tmp\ucrtbased.dll
- %TEMP%\b663.tmp\vcruntime140_1d.dll
- %TEMP%\b663.tmp\vcruntime140d.dll
Удаляет следующие файлы
- %TEMP%\b663.tmp\123.exe
- %TEMP%\b663.tmp\sys.sys
- %TEMP%\b663.tmp\msvcp140d.dll
- %TEMP%\b663.tmp\ucrtbased.dll
- %TEMP%\b663.tmp\vcruntime140_1d.dll
- %TEMP%\b663.tmp\vcruntime140d.dll
- %TEMP%\b663.tmp\b664.tmp\b665.bat
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\b663.tmp\123.exe' sys.sys
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\B663.tmp\B664.tmp\B665.bat <Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\B663.tmp\B664.tmp\B665.bat <Полный путь к файлу>"
