Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /iM "<Имя файла>.exe" /F
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\vqjv.exe
- nul
- %TEMP%\dipcw.t
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\vqjv.exe' /PKngS3NJiLUfwUQoZtZlqUyo
Запускает на исполнение
- '%WINDIR%\syswow64\mshta.exe' VbSCrIPt: clOsE( crEAteOBJEcT( "WScRipt.sHelL" ). ruN ( "<SYSTEM32>\cmd.exe /q /c tYPe ""<Полный путь к файлу>"" > VQJv.exe && start VQJv.e...
- '%WINDIR%\syswow64\cmd.exe' /q /c tYPe "<Полный путь к файлу>" > VQJv.exe && start VQJv.exe /PKngS3NJiLUfwUQoZtZlqUyo & IF "" == "" for %j In ( "<Полный путь к файлу>") do taskki... (со скрытым окном)
- '%WINDIR%\syswow64\mshta.exe' VbSCrIPt: clOsE( crEAteOBJEcT( "WScRipt.sHelL" ). ruN ( "<SYSTEM32>\cmd.exe /q /c tYPe ""%TEMP%\VQJv.exe"" > VQJv.exe && start VQJv.exe /...
- '%WINDIR%\syswow64\cmd.exe' /q /c tYPe "%TEMP%\VQJv.exe" > VQJv.exe && start VQJv.exe /PKngS3NJiLUfwUQoZtZlqUyo & IF "/PKngS3NJiLUfwUQoZtZlqUyo " == "" for %j In ( "%TEMP%\VQJv.exe") ... (со скрытым окном)
- '%WINDIR%\syswow64\regsvr32.exe' -U .\diPCw.T /s
