Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM frpc.exe
- '<SYSTEM32>\taskkill.exe' /F /IM Windows wlanext.exe
- '<SYSTEM32>\taskkill.exe' /F /IM ????????exe
- '<SYSTEM32>\taskkill.exe' /F /IM sshd.exe
- '<SYSTEM32>\net.exe' stop sshd
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\d71c.tmp\d71d.tmp\d71e.bat
- %HOMEPATH%\user.txt
Удаляет следующие файлы
- %TEMP%\d71c.tmp\d71d.tmp\d71e.bat
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\D71C.tmp\D71D.tmp\D71E.bat <Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\net1.exe' start sshd
- '<SYSTEM32>\net.exe' start sshd
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' net start sshd
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Stop-Service sshd
- '<SYSTEM32>\net1.exe' stop sshd
- '<SYSTEM32>\msiexec.exe' /i OpenSSH.msi /qn
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-Service sshd -StartupType Automatic
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' taskkill /F /IM sshd.exe
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' taskkill /F /IM "Windows wlanext.exe"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' taskkill /F /IM frpc.exe
- '<SYSTEM32>\msiexec.exe' /x "OpenSSH.msi" /qn
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Remove-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Remove-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' taskkill /F /IM ????????exe
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Restart-Service sshd
