Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im ASCTray.exe
- '<SYSTEM32>\taskkill.exe' /f /im Monitor.exe
- '<SYSTEM32>\taskkill.exe' /f /t /im ASCService.exe
- '<SYSTEM32>\taskkill.exe' /f /t /im ASC.exe
- '<SYSTEM32>\taskkill.exe' /f /t /im ASCAvSvc.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\licence.exe
- %TEMP%\rarsfx0\licencex64.exe
- %TEMP%\rarsfx0\licencex32.exe
- %TEMP%\a1ca.tmp\a1cb.bat
- %TEMP%\rarsfx0\message.vbs
- %CommonProgramFiles(x86)%\iobit\advanced systemcare\license-av.dat
- %CommonProgramFiles(x86)%\iobit\advanced systemcare\ext-av.dat
Изменяет файл HOSTS.
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\licence.exe'
- '%TEMP%\rarsfx0\licencex64.exe'
- '<SYSTEM32>\wscript.exe' "%TEMP%\RarSFX0\message.vbs"
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\A1CA.tmp\A1CB.bat %TEMP%\RarSFX0\licence.exe" (со скрытым окном)
- '<SYSTEM32>\find.exe' /C /I "asc55.iobit.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "asc.iobit.com" <DRIVERS>\etc\hosts
