Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM cmd.exe /IM Microsoft-System-Repair-aes-sse42.exe /IM Microsoft-System-Repair-avx.exe /IM Microsoft-System-Repair-avx2.exe /IM Microsoft-System-Repair-avx2-sha.exe /IM Microsoft-System-R...
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- C:\temp\microsoft\go.cmd
Сетевая активность
Подключается к
- 'pa###bin.com':443
- 'pk#.goog':80
- 'gi##ab.com':443
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'pa###bin.com':443
- 'gi##ab.com':443
UDP
- DNS ASK pa###bin.com
- DNS ASK pk#.goog
- DNS ASK gi##ab.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' xcopy "<Текущая директория>\Audio Driver.exe" "%appdata%\microsoft\windows\start menu\programs\startup"
- '%WINDIR%\syswow64\taskkill.exe' /F /IM cmd.exe /IM Microsoft-System-Repair-aes-sse42.exe /IM Microsoft-System-Repair-avx.exe /IM Microsoft-System-Repair-avx2.exe /IM Microsoft-System-Repair-avx2-sha.exe /IM Microsoft-System-R... (со скрытым окном)
