Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im TickTick.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\32.exe
- %TEMP%\rarsfx0\64.exe
- %TEMP%\rarsfx0\crack.cmd
- %TEMP%\rarsfx1\64.exe
- %TEMP%\rarsfx1\tick_win_setup_release_x64.exe
- %TEMP%\rarsfx1\programsite.url
- %TEMP%\is-afm9j.tmp\tick_win_setup_release_x64.tmp
- %TEMP%\is-6mcf5.tmp\_isetup\_setup64.tmp
Другое
Ищет следующие окна
- ClassName: 'Edit' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\64.exe' /verysilent
- '%TEMP%\rarsfx1\tick_win_setup_release_x64.exe' /verysilent
- '%TEMP%\is-afm9j.tmp\tick_win_setup_release_x64.tmp' /SL5="$10292,16535890,1145856,%TEMP%\RarSFX1\tick_win_setup_release_x64.exe" /verysilent
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\crack.cmd" " (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /f /im TickTick.exe (со скрытым окном)
