Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im "ts3client_win32.exe"
- '<SYSTEM32>\taskkill.exe' /f /im "ts3client_win64.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7b66.tmp\7b77.tmp\7b78.bat
- %TEMP%\getadmin.vbs
Удаляет следующие файлы
- %TEMP%\getadmin.vbs
- %TEMP%\7b66.tmp\7b77.tmp\7b78.bat
Изменяет файл HOSTS.
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\getadmin.vbs"
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\7B66.tmp\7B77.tmp\7B78.bat <Полный путь к файлу>"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c echo 127.0.0.1 blacklist.teamspeak.com >> <DRIVERS>\etc\hosts' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c echo 127.0.0.1 blacklist2.teamspeak.com >> <DRIVERS>\etc\hosts' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\7B66.tmp\7B77.tmp\7B78.bat <Полный путь к файлу>"
- '<SYSTEM32>\cmd.exe' /c echo 127.0.0.1 blacklist.teamspeak.com >> <DRIVERS>\etc\hosts
- '<SYSTEM32>\cmd.exe' /c echo 127.0.0.1 blacklist2.teamspeak.com >> <DRIVERS>\etc\hosts
