Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM autorun.inf
- '%WINDIR%\syswow64\taskkill.exe' /F /IM exploror.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM SaUpdate.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM WatAdminSvc.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM WatUX.exe
Запускает большое число процессов
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /F /IM autorun.inf
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /F /IM exploror.exe
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /F /IM SaUpdate.exe
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /F /IM WatAdminSvc.exe
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /F /IM WatUX.exe
- '%WINDIR%\syswow64\cmd.exe' /c takeown /f <SYSTEM32>\Wat\*
- '%WINDIR%\syswow64\takeown.exe' /f <SYSTEM32>\Wat\*
- '%WINDIR%\syswow64\cmd.exe' /c rm -r <SYSTEM32>\Wat\*
- '%WINDIR%\syswow64\cmd.exe' /c rm <SYSTEM32>\Wat\*
- '%WINDIR%\syswow64\cmd.exe' /c icacls <SYSTEM32>\Wat\* /deny *S-1-1-0:F
- '%WINDIR%\syswow64\icacls.exe' <SYSTEM32>\Wat\* /deny *S-1-1-0:F
- '%WINDIR%\syswow64\cmd.exe' /c takeown /F <SYSTEM32>\sppcomapi.dll
- '%WINDIR%\syswow64\takeown.exe' /F <SYSTEM32>\sppcomapi.dll
- '%WINDIR%\syswow64\cmd.exe' /c icacls <SYSTEM32>\sppcomapi.dll /deny *S-1-1-0:F
- '%WINDIR%\syswow64\icacls.exe' <SYSTEM32>\sppcomapi.dll /deny *S-1-1-0:F
- '%WINDIR%\syswow64\cmd.exe' /c regdelete.bat
