Техническая информация
Вредоносные функции
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsm536d.tmp\uac.dll
- %TEMP%\nsm536d.tmp\version.dll
- %ProgramFiles(x86)%\wow search\icons\install.ico
- %ProgramFiles(x86)%\wow search\icons\wow_ico.ico
- %TEMP%\nsm536d.tmp\nsprocess.dll
- %TEMP%\sqlite3.exe
- %TEMP%\prefjsoncpp.exe
- %APPDATA%\mozilla\firefox\profiles\v08trqk6.default-release\searchplugins\search_engine.xml
- %APPDATA%\mozilla\firefox\profiles\v08trqk6.default-release\searchplugins\wow_search_ff.ps1
- %TEMP%\nsm536d.tmp\nsexec.dll
- %APPDATA%\mozilla\firefox\profiles\m15ucxjx.default\search-metadata.json
- %APPDATA%\mozilla\firefox\profiles\v08trqk6.default-release\search-metadata.json
- %TEMP%\nsm536d.tmp\system.dll
Удаляет следующие файлы
- %TEMP%\nsm536d.tmp\nsexec.dll
- %TEMP%\nsm536d.tmp\nsprocess.dll
- %TEMP%\nsm536d.tmp\system.dll
- %TEMP%\nsm536d.tmp\uac.dll
- %TEMP%\nsm536d.tmp\version.dll
Изменяет следующие файлы
- %APPDATA%\mozilla\firefox\profiles\v08trqk6.default-release\prefs.js
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -inputformat none -ExecutionPolicy RemoteSigned -File "wow_search_ff.ps1"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -inputformat none -ExecutionPolicy RemoteSigned -File "wow_search_ff.ps1"
