Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bt3345.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bt3345.bat
Удаляет следующие файлы
- %WINDIR%\temp\dmiacf5.tmp
- %WINDIR%\temp\fwtsqmfile00.sqm
- %WINDIR%\temp\ts_548c.tmp
- %WINDIR%\temp\ts_5a4a.tmp
- %WINDIR%\temp\ts_5b54.tmp
- %WINDIR%\temp\ts_624b.tmp
- %WINDIR%\temp\ts_67ca.tmp
- %WINDIR%\temp\ts_6ab9.tmp
- %WINDIR%\temp\ts_6d1b.tmp
- %WINDIR%\temp\ts_947a.tmp
- %WINDIR%\temp\ts_996d.tmp
- <DRIVERS>\etc\hosts
- %TEMP%\bt3345.bat
Подменяет файл HOSTS.
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\bt3345.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\bt3345.bat
- '%WINDIR%\syswow64\reg.exe' add HKLM\Software\Microsoft\windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0 /f
- '%WINDIR%\syswow64\regsvr32.exe' /u /s ..\Bin\BHOEx.dll
- '%WINDIR%\syswow64\attrib.exe' -s -h -r -a <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" echo y"
- '%WINDIR%\syswow64\cacls.exe' <DRIVERS>\etc\hosts /G Everyone:F
- '%WINDIR%\syswow64\attrib.exe' +s +h +r +a <DRIVERS>\etc\hosts
- '%WINDIR%\syswow64\ipconfig.exe' /flushdns
