Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowswatchdog
Вредоносные функции
Запускает большое число процессов
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\shell.ini
- %ALLUSERSPROFILE%\3.txt
- %APPDATA%\bd4136b7.bat
- %ALLUSERSPROFILE%\micros\pewznpweyrcklqi.exe
- %ALLUSERSPROFILE%\micros\xiaomum.lnk
- %ALLUSERSPROFILE%\micros\4.txt
- %ALLUSERSPROFILE%\micros\2.txt
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Сетевая активность
Подключается к
- '45.#1.47.17':80
- '45.#1.47.17':447
TCP
Запросы HTTP GET
- http://45.#1.47.17/3.txt
- http://45.#1.47.17/4.txt
- http://45.#1.47.17/2.txt
Другие
- '45.#1.47.17':447
Другое
Ищет следующие окна
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %APPDATA%\BD4136B7.bat' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c md %ALLUSERSPROFILE%\Micros' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c attrib <Полный путь к файлу> +s +h' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %APPDATA%\BD4136B7.bat
- '%WINDIR%\syswow64\cmd.exe' /c md %ALLUSERSPROFILE%\Micros
- '%WINDIR%\syswow64\cmd.exe' /c attrib <Полный путь к файлу> +s +h
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\find.exe' /i "<Имя файла>.exe"
- '%WINDIR%\syswow64\attrib.exe' <Полный путь к файлу> +s +h
