Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /iM "<Имя файла>.exe" /F
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\map.exe
- %TEMP%\768a~cp.b3
- %TEMP%\sctk.~to
- %TEMP%\3ndasn5.ctb
- %TEMP%\1e50.y1
- %TEMP%\z2azaxgj.8li
- %TEMP%\csxjaul0.e
- %TEMP%\abtp0zhu.~
- %TEMP%\d9yid9.m
- %TEMP%\dkt5u_.d_
- %TEMP%\k2kmfu0.xf
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\map.exe' /P4Dr6f0ryuiMBEprEsLiqnt5
Запускает на исполнение
- '%WINDIR%\syswow64\mshta.exe' vBsCRIpT:ClOse ( CREateObJeCt ( "WScrIpt.SHelL" ).RUn ( "CmD.eXe /q /c coPy /y ""<Полный путь к файлу>"" mAP.eXE && stARt mAP.exe /P4Dr6f0ry...
- '%WINDIR%\syswow64\cmd.exe' /q /c coPy /y "<Полный путь к файлу>" mAP.eXE && stARt mAP.exe /P4Dr6f0ryuiMBEprEsLiqnt5& IF "" == "" for %Y in ( "<Полный путь к файлу>" ) do ... (со скрытым окном)
- '%WINDIR%\syswow64\mshta.exe' vBsCRIpT:ClOse ( CREateObJeCt ( "WScrIpt.SHelL" ).RUn ( "CmD.eXe /q /c coPy /y ""%TEMP%\mAP.eXE"" mAP.eXE && stARt mAP.exe /P4Dr6f0ryuiMBEpr...
- '%WINDIR%\syswow64\cmd.exe' /q /c coPy /y "%TEMP%\mAP.eXE" mAP.eXE && stARt mAP.exe /P4Dr6f0ryuiMBEprEsLiqnt5& IF "/P4Dr6f0ryuiMBEprEsLiqnt5" == "" for %Y in ( "%TEMP%\mAP.eXE" ... (со скрытым окном)
- '%WINDIR%\syswow64\mshta.exe' vBScriPt: ClOSE (creATeoBJECT ( "WsCriPT.Shell" ). RUN( "cmD /Q /C eCHo i89%rAnDOM%> D9YID9.m & EChO | SeT /P = ""MZ"" > ...
- '%WINDIR%\syswow64\cmd.exe' /Q /C eCHo i89%rAnDOM%> D9YID9.m & EChO | SeT /P = "MZ" > Dkt5U_.D_ & CoPy /Y /B DKt5U_.D_ + 768A~Cp.B3 + sCtk.~TO + 3NDASN5.... (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" EChO "
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" SeT /P = "MZ" 1>Dkt5U_.D_"
- '%WINDIR%\syswow64\regsvr32.exe' -s K2kMfu0.xf /U
