Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im chrome.exe
- '<SYSTEM32>\taskkill.exe' /f /im firefox.exe
- '<SYSTEM32>\taskkill.exe' /f /im edge.exe
- '<SYSTEM32>\taskkill.exe' /f /im opera.exe
Запускает большое число процессов
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1026.tmp\1027.tmp\1028.bat
- nul
- %WINDIR%\temp\control.bat
- %ALLUSERSPROFILE%\control.bat
- C:\users\public\control.bat
- <SYSTEM32>\control.bat
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\1026.tmp\1027.tmp\1028.bat <Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c wmic process where "name like \'csv ^| findstr /v "CreationDate"
- '<SYSTEM32>\wbem\wmic.exe' process where "name like \'csv ^| findstr /v "CreationDate"
- '<SYSTEM32>\reg.exe' query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr
- '<SYSTEM32>\find.exe' "0x0"
- '<SYSTEM32>\timeout.exe' /t 1 /nobreak
