Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ees_www.osssr.com\ees_nt64.bat
- %TEMP%\ees_www.osssr.com\ees_nt64.msi
- nul
- %TEMP%\msic429.log
- %TEMP%\msi1826.tmp
- %TEMP%\msi1d84.tmp
- %TEMP%\msi1e4f.tmp
- %TEMP%\msi1ebe.tmp
- %TEMP%\msi1f3b.tmp
- %TEMP%\msi1ff8.tmp
- %TEMP%\msi2085.tmp
- %TEMP%\msi218f.tmp
- %TEMP%\msi2364.tmp
Удаляет следующие файлы
- %TEMP%\msi1826.tmp
- %TEMP%\msi1d84.tmp
- %TEMP%\msi1e4f.tmp
- %TEMP%\msi1ebe.tmp
- %TEMP%\msi1f3b.tmp
- %TEMP%\msi1ff8.tmp
- %TEMP%\msi2085.tmp
- %TEMP%\msi218f.tmp
- %TEMP%\msi2364.tmp
Изменяет файл HOSTS.
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\ees_www.osssr.com\ees_nt64.bat" /silent"' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\ees_www.osssr.com\ees_nt64.bat" /silent"
- '<SYSTEM32>\reg.exe' query "HKU\S-1-5-19\Environment"
- '<SYSTEM32>\find.exe' /C /I "expire.eset.com" "<DRIVERS>\etc\hosts"
- '<SYSTEM32>\find.exe' /C /I "edf.eset.com" "<DRIVERS>\etc\hosts"
- '<SYSTEM32>\attrib.exe' -R <DRIVERS>\etc\hosts
- '<SYSTEM32>\attrib.exe' +R "<DRIVERS>\etc\hosts"
- '<SYSTEM32>\msiexec.exe' /i ees_nt64.msi
