Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /im PDVDLP.exe /f
- '<SYSTEM32>\taskkill.exe' /im PowerDVD.exe /f
Загружает
- https://www.dropbox.com/s/kqp0v7wtiwikt0z/powerdvd.sim?dl=1 as %windir%\temp\powerdvd.sim
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is64.txt
- %TEMP%\is64.bat
- %TEMP%\is64.fil
- %TEMP%\xtmp\tmp50928.bat
- %TEMP%\xtmp\tmp43368.exe
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'dr##box.com':443
TCP
Другие
- 'dr##box.com':443
UDP
- DNS ASK dr##box.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c if not exist "%TEMP%\afolder" mkdir "%TEMP%\afolder"
- '%WINDIR%\syswow64\cmd.exe' /c if not exist "%TEMP%\xtmp" mkdir "%TEMP%\xtmp"
- '%WINDIR%\syswow64\cmd.exe' /c attrib +h %TEMP%\xtmp
- '%WINDIR%\syswow64\attrib.exe' +h %TEMP%\xtmp
- '%WINDIR%\syswow64\cmd.exe' /c echo:0>%TEMP%\is64.txt
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\is64.bat
- '%WINDIR%\syswow64\cmd.exe' /c if exist "%TEMP%\xtmp\tmp50928.bat" del "%TEMP%\xtmp\tmp50928.bat"
- '%WINDIR%\syswow64\cmd.exe' /c if exist "%TEMP%\xtmp\tmp43368.exe" del "%TEMP%\xtmp\tmp43368.exe"
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\Sysnative\cmd.exe /C %TEMP%\xtmp\tmp50928.bat "<Полный путь к файлу>"
- '<SYSTEM32>\cmd.exe' /C %TEMP%\xtmp\tmp50928.bat "<Полный путь к файлу>"
- '<SYSTEM32>\timeout.exe' /T 3
- '<SYSTEM32>\find.exe' /C /I "ignoreline" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "cap.cyberlink.com" <DRIVERS>\etc\hosts
