Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' -Im "<Имя файла>.exe" /f
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\jdcitb.exe
- %TEMP%\gd29.iu
- nul
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\jdcitb.exe' /POsNUehPOxFQ
Запускает на исполнение
- '%WINDIR%\syswow64\mshta.exe' VBSCriPt: ClOse ( CrEatEobjeCT ( "WSCRiPT.shell"). RuN ( "CmD.exE /c typE ""<Полный путь к файлу>"" > jDcitB.exe && stART jDcitB....
- '%WINDIR%\syswow64\cmd.exe' /c typE "<Полный путь к файлу>" > jDcitB.exe && stART jDcitB.exe /POsNUehPOxFQ & IF "" == "" for %F in ("<Полный путь к файлу>" ) do taskkill -Im "... (со скрытым окном)
- '%WINDIR%\syswow64\mshta.exe' VBSCriPt: ClOse ( CrEatEobjeCT ( "WSCRiPT.shell"). RuN ( "CmD.exE /c typE ""%TEMP%\jDcitB.exe"" > jDcitB.exe && stART jDcitB.exe ...
- '%WINDIR%\syswow64\cmd.exe' /c typE "%TEMP%\jDcitB.exe" > jDcitB.exe && stART jDcitB.exe /POsNUehPOxFQ & IF "/POsNUehPOxFQ " == "" for %F in ("%TEMP%\jDcitB.exe" ) do taskki... (со скрытым окном)
- '%WINDIR%\syswow64\regsvr32.exe' .\gD29.IU -u -S
