Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM GrandServer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ytmp\tmp81508.bat
- %TEMP%\ytmp\tmp11238.exe
Удаляет следующие файлы
- %TEMP%\ytmp\tmp11238.exe
Изменяет файл HOSTS.
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\ytmp\tmp11238.exe' f3GcN7SrE4
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c if not exist "%TEMP%\afolder" mkdir "%TEMP%\afolder"
- '%WINDIR%\syswow64\cmd.exe' /c if not exist "%TEMP%\ytmp" mkdir "%TEMP%\ytmp"
- '%WINDIR%\syswow64\cmd.exe' /c attrib +h %TEMP%\ytmp
- '%WINDIR%\syswow64\attrib.exe' +h %TEMP%\ytmp
- '%WINDIR%\syswow64\cmd.exe' /c cls
- '%WINDIR%\syswow64\cmd.exe' /c if exist "%TEMP%\ytmp\tmp81508.bat" del "%TEMP%\ytmp\tmp81508.bat"
- '%WINDIR%\syswow64\cmd.exe' /c if exist "%TEMP%\ytmp\tmp11238.exe" del "%TEMP%\ytmp\tmp11238.exe"
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\ytmp\tmp81508.bat "<Полный путь к файлу>"
- '%WINDIR%\syswow64\find.exe' /C /I "ec2-54-214-232-89.us-west-2.compute.amazonaws.com" <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\find.exe' /C /I "ec2-54-233-153-167.sa-east-1.compute.amazonaws.com" <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\find.exe' /C /I "54.214.232.89" <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\find.exe' /C /I "54.233.153.167" <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\find.exe' /C /I "www.gr####hef.com.br" <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\find.exe' /C /I "grandchef.com.br" <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\find.exe' /C /I "help.grandchef.com.br" <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\find.exe' /C /I "test.grandchef.com.br" <DRIVERS>\etc\hosts
