Техническая информация
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Regmonclass', WindowName: ''
- ClassName: 'Filemonclass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~~5503757602699439210.tmp.exe
- %TEMP%\~7227530092110302568.cmd
- %TEMP%\~5295477277380550928.cmd
- nul
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\~~5503757602699439210.tmp.exe
- %TEMP%\~7227530092110302568.cmd
- %TEMP%\~5295477277380550928.cmd
Удаляет следующие файлы
- %TEMP%\~~5503757602699439210.tmp.exe
- %TEMP%\~7227530092110302568.cmd
- %TEMP%\~5295477277380550928.cmd
Самоудаляется.
Другое
Ищет следующие окна
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\~~5503757602699439210.tmp.exe'
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\~5295477277380550928.cmd"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\~7227530092110302568.cmd"' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\~5295477277380550928.cmd"
- '<SYSTEM32>\ping.exe' -n 2 127.0.0.1
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\~7227530092110302568.cmd"
