Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM server.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM Thunder5.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM WebThunder.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM Skype.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM SockMon5.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM WPE PRO.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM WPE.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM Iris.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM commview.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM iptools.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM PackAssist.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM ═В°┬τ╖Γ░ⁿ╜╪╚Г╞≈.exe
- '%WINDIR%\syswow64\net.exe' stop iisadmin /y
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\256b73d.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\256b73d.bat
Изменяет файл HOSTS.
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\256B73D.bat" "<Полный путь к файлу>" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\256B73D.bat" "<Полный путь к файлу>" "
- '%WINDIR%\syswow64\findstr.exe' /i /c:"127.0.0.1 localhost" <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\findstr.exe' /i /c:"127.0.0.1 www.bfbqf.com" <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\net1.exe' stop iisadmin /y
