Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\dllhost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zsfx\killduplicate.cmd
- %TEMP%\7zsfx\setup.exe
- %TEMP%\evb90f9.tmp
- %TEMP%\7zsfx000.cmd
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\7zsfx\killduplicate.cmd
Удаляет следующие файлы
- %TEMP%\7zsfx\killduplicate.cmd
- %TEMP%\7zsfx000.cmd
- %TEMP%\7zsfx\setup.exe
Самоудаляется.
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\7zsfx\setup.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Remove-Item '%TEMP%\7zSFX\setup.exe' -Force
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7zSFX\KillDuplicate.cmd" "%TEMP%\7zSFX" "<Имя файла>.exe""' (со скрытым окном)
- '%TEMP%\7zsfx\setup.exe' ' (со скрытым окном)
- '<SYSTEM32>\rundll32.exe' cache.tmp,cleanup' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Remove-Item '%TEMP%\7zSFX\setup.exe' -Force' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7zSFX\KillDuplicate.cmd" "%TEMP%\7zSFX" "<Имя файла>.exe""
- '<SYSTEM32>\rundll32.exe' cache.tmp,cleanup
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "
- '<SYSTEM32>\dllhost.exe'
