Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Arymbmwr' = 'C:\\Users\\user\\Links\Arymbmwr.url'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- rwmbmyra.pif
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\9378.cmd
- %ALLUSERSPROFILE%\neo.cmd
- %ALLUSERSPROFILE%\39899.cmd
- nul
- C:\users\public\alpha.pif
- %HOMEPATH%\links\arymbmwr.pif
- %HOMEPATH%\links\arymbmwr.url
- %HOMEPATH%\links\rwmbmyra.pif
Другое
Создает и запускает на исполнение
- 'C:\users\public\alpha.pif' /c mkdir "\\?\%WINDIR% "
- 'C:\users\public\alpha.pif' /c mkdir "\\?\%WINDIR% \SysWOW64"
- '%HOMEPATH%\links\rwmbmyra.pif'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\\Users\\All Users\\9378.cmd"" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\\Users\\All Users\\39899.cmd"" (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 10
- '%WINDIR%\syswow64\esentutl.exe' /y C:\\Windows\\System32\\cmd.exe /d C:\\Users\\Public\\alpha.pif /o
