Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' -f /Im "<Имя файла>.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\p10.exe
- %TEMP%\csbo.~
- %TEMP%\0o1q.b
- %TEMP%\2m~wjppu.cl
- %TEMP%\w4i5hs8.ha
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\p10.exe' /pBEDhgoZGlgqoinBXc7Zw
Запускает на исполнение
- '%WINDIR%\syswow64\mshta.exe' vbsCrIpt: ClosE ( CreAteObjEcT ( "WsCRIpt.shelL" ). rUN ( "cmD.EXE /c copY /y ""<Полный путь к файлу>"" p10.eXE && sTaRt P10.EXE /pBEDhgoZG...
- '%WINDIR%\syswow64\cmd.exe' /c copY /y "<Полный путь к файлу>" p10.eXE && sTaRt P10.EXE /pBEDhgoZGlgqoinBXc7Zw& IF ""== "" for %g iN ( "<Полный путь к файлу>" ) do taskk... (со скрытым окном)
- '%WINDIR%\syswow64\mshta.exe' vbsCrIpt: ClosE ( CreAteObjEcT ( "WsCRIpt.shelL" ). rUN ( "cmD.EXE /c copY /y ""%TEMP%\p10.eXE"" p10.eXE && sTaRt P10.EXE /pBEDhgoZGlgqoinB...
- '%WINDIR%\syswow64\cmd.exe' /c copY /y "%TEMP%\p10.eXE" p10.eXE && sTaRt P10.EXE /pBEDhgoZGlgqoinBXc7Zw& IF "/pBEDhgoZGlgqoinBXc7Zw"== "" for %g iN ( "%TEMP%\p10.eXE" ) ... (со скрытым окном)
