Техническая информация
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\runas.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\e52.tmp\b2e.exe
- %TEMP%\1209.tmp\batchfile.bat
- %TEMP%\selfdel0.bat
Удаляет следующие файлы
- %TEMP%\1209.tmp\batchfile.bat
- %TEMP%\e52.tmp\b2e.exe
Сетевая активность
UDP
- 'localhost':51006
- 'localhost':60473
Другое
Создает и запускает на исполнение
- '%TEMP%\e52.tmp\b2e.exe' %TEMP%\E52.tmp\b2e.exe <Текущая директория> "<Полный путь к файлу>"
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\selfdel0.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\1209.tmp\batchfile.bat" "
- '%WINDIR%\syswow64\runas.exe' /u:us\eposervice "\\corpaplync\Lync\certmgr.exe" -add -c "\\corpaplync\Lync\emmislynccertificate.cer" -s -r localMachine root
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\selfdel0.bat" "
