Техническая информация
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\wudfhost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\8a25.tmp\8a36.tmp\8a37.bat
Удаляет следующие файлы
- <SYSTEM32>\logonui.exe
- %TEMP%\8a25.tmp\8a36.tmp\8a37.bat
Сетевая активность
UDP
- 'localhost':49181
- 'localhost':62576
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'View Available Networks'
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\8A25.tmp\8A36.tmp\8A37.bat <Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\8A25.tmp\8A36.tmp\8A37.bat <Полный путь к файлу>"
- '<SYSTEM32>\takeown.exe' /f .\LogonUI.exe
- '<SYSTEM32>\icacls.exe' .\LogonUI.exe /grant Users:F
- '<SYSTEM32>\wbem\wmic.exe' process where name='svchost.exe' delete
- '<SYSTEM32>\svchost.exe' -k DcomLaunch
- '<SYSTEM32>\svchost.exe' -k RPCSS
