Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall set opmode enable
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Malwarebytes" dir=out action=block program="%ProgramFiles%\Malwarebytes\Anti-Malware\MBAMService.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\3c73.tmp\s.bat
- nul
Удаляет следующие файлы
- %TEMP%\3c73.tmp\s.bat
Изменяет файл HOSTS.
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\3C73.tmp\S.bat <Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +r +h +s "\gecici_proje_klasoru\S.exe"
- '<SYSTEM32>\attrib.exe' +r +h +s "\gecici_proje_klasoru\M.exe"
- '<SYSTEM32>\attrib.exe' +r +h +s "\gecici_proje_klasoru\B.exe"
- '<SYSTEM32>\attrib.exe' +r +h +s "\gecici_proje_klasoru\K.png"
- '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Malwarebytes Anti-Malware_is1" /f
- '<SYSTEM32>\reg.exe' delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1" /f
- '<SYSTEM32>\netsh.exe' advfirewall reset
- '<SYSTEM32>\attrib.exe' -r <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "keystone.mwbsys.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\attrib.exe' +r <DRIVERS>\etc\hosts
