Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- wab.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\komponeringer\predark.for133
- %TEMP%\komponeringer\disabled57\mesostasis\gyngestolene.sno
- %TEMP%\komponeringer\disabled57\mesostasis\anneline.hak
- %TEMP%\komponeringer\disabled57\mesostasis\nrstaaendes142.fin
- %TEMP%\komponeringer\disabled57\mesostasis\bilagenes.din
- %TEMP%\komponeringer\disabled57\mesostasis\biodynamisk.vid
- %TEMP%\komponeringer\disabled57\mesostasis\generalkonsulernes.tug
- %TEMP%\komponeringer\disabled57\mesostasis\spionsigtet.flo
- %TEMP%\komponeringer\disabled57\mesostasis\unapologizings.txt
- %TEMP%\komponeringer\disabled57\mesostasis\<Имя файла>.exe
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle hidden "$Belemrede=Get-Content '%TEMP%\komponeringer\Disabled57\Mesostasis\Gyngestolene.Sno';$Kjerummet=$Belemrede.SubString(54590,3);.$Kjerummet($Belemrede)"
- '%ProgramFiles(x86)%\windows mail\wab.exe'
