Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im "ts3client_win32.exe"
- '<SYSTEM32>\taskkill.exe' /f /im "ts3client_win64.exe"
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\b875.tmp\b886.tmp\b887.bat
- %TEMP%\getadmin.vbs
Удаляет следующие файлы
- %TEMP%\getadmin.vbs
- %TEMP%\b875.tmp\b886.tmp\b887.bat
Изменяет файл HOSTS.
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\getadmin.vbs"
- '<SYSTEM32>\cmd.exe' /c echo 127.0.0.1 blacklist.teamspeak.com >> <DRIVERS>\etc\hosts' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c echo 127.0.0.1 blacklist2.teamspeak.com >> <DRIVERS>\etc\hosts' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\B875.tmp\B886.tmp\B887.bat <Полный путь к файлу>"
- '<SYSTEM32>\cmd.exe' /c echo 127.0.0.1 blacklist.teamspeak.com >> <DRIVERS>\etc\hosts
- '<SYSTEM32>\cmd.exe' /c echo 127.0.0.1 blacklist2.teamspeak.com >> <DRIVERS>\etc\hosts
