Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\farmanagerwin
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\createtask.bat
- %TEMP%\rarsfx0\temp.txt
- nul
Удаляет следующие файлы
- %TEMP%\rarsfx0\createtask.bat
- %TEMP%\rarsfx0\temp.txt
Подменяет следующие файлы
- %TEMP%\rarsfx0\createtask.bat
- %TEMP%\rarsfx0\temp.txt
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX0\createTask.bat" "
- '%WINDIR%\syswow64\setx.exe' FARMANAGER_WIN "<Полный путь к файлу>FarmanagerWin.exe" /M
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" echo %ALLUSERSPROFILE%\Oracle\Java\javapath;<SYSTEM32>;%WINDIR%;<SYSTEM32>\Wbem;<SYSTEM32>\WindowsPowerShell\v1.0\ "
- '%WINDIR%\syswow64\find.exe' /I "<PATH_SAMPLE>.ex"
- '%WINDIR%\syswow64\setx.exe' PATH "%ALLUSERSPROFILE%\Oracle\Java\javapath;<SYSTEM32>;%WINDIR%;<SYSTEM32>\Wbem;<SYSTEM32>\WindowsPowerShell\v1.0\;<PATH_SAMPLE>.ex" /M
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "FarmanagerWin" /tr "'<Полный путь к файлу>'" /sc daily /mo 1 /rl HIGHEST /f /du 24:00 /st 00:00 /ri 1
- '<SYSTEM32>\taskeng.exe' {56810706-BAED-4074-9347-5ACF89DE52D6} S-1-5-21-3150914307-1777937420-491476919-1000:hnthkmgfzs\user:Interactive:[1]
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" echo %ALLUSERSPROFILE%\Oracle\Java\javapath;<SYSTEM32>;%WINDIR%;<SYSTEM32>\Wbem;<SYSTEM32>\WindowsPowerShell\v1.0\;<PATH_SAMPLE>.ex "
- '<Полный путь к файлу>' (со скрытым окном)
