Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\taskmgr.lnk
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM "wlogon.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-6ojgb.tmp\<Имя файла>.tmp
- %TEMP%\is-5f02a.tmp\_isetup\_setup64.tmp
- %LOCALAPPDATA%\is-0a92v.tmp
- %LOCALAPPDATA%\packages\is-jndcf.tmp
- %LOCALAPPDATA%\unins000.dat
Удаляет следующие файлы
- %LOCALAPPDATA%\packages\niubi partition editor unlimited v10.0.8.zip
Перемещает следующие файлы
- %LOCALAPPDATA%\is-0a92v.tmp в %LOCALAPPDATA%\unins000.exe
- %LOCALAPPDATA%\packages\is-jndcf.tmp в %LOCALAPPDATA%\packages\niubi partition editor unlimited v10.0.8.zip
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\is-6ojgb.tmp\<Имя файла>.tmp' /SL5="$50244,15146662,1005056,<Полный путь к файлу>"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C taskkill /F /IM "wlogon.exe" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C powershell -command Expand-Archive '%LOCALAPPDATA%\Packages\NIUBI Partition Editor Unlimited v10.0.8.zip' '%LOCALAPPDATA%\Packages\' -Force (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command Expand-Archive '%LOCALAPPDATA%\Packages\NIUBI Partition Editor Unlimited v10.0.8.zip' '%LOCALAPPDATA%\Packages\' -Force
