Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\microsoftservices\rav.exe'
- '%APPDATA%\microsoftservices\rac.exe'
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /S /Kstart %APPDATA%\MicrosoftServices\rac.exe
- '<SYSTEM32>\cmd.exe' /S /Kstart %APPDATA%\MicrosoftServices\rav.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoftservices\rav.bmp
- %APPDATA%\microsoftservices\rac.bmp
- %TEMP%\b.bat
Удаляет следующие файлы
- %TEMP%\b.bat
Перемещает следующие файлы
- %APPDATA%\microsoftservices\rav.bmp в %APPDATA%\microsoftservices\rav.exe
- %APPDATA%\microsoftservices\rac.bmp в %APPDATA%\microsoftservices\rac.exe
Сетевая активность
Подключается к
- '18#.#41.68.127':80
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\\b.bat""
- '<SYSTEM32>\systeminfo.exe'
- '<SYSTEM32>\schtasks.exe' /delete /tn "GetOfficeUpdate" /f
- '<SYSTEM32>\schtasks.exe' /create /tn "GetOfficeUpdate" /tr "%APPDATA%\MicrosoftServices\rav.exe" /sc "DAILY"
- '<SYSTEM32>\cmd.exe' /S /Kstart %APPDATA%\MicrosoftServices\rac.exe (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /S /Kstart %APPDATA%\MicrosoftServices\rav.exe (со скрытым окном)
