Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\ramez.job
- <SYSTEM32>\tasks\89uhuz2jx
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\psouzlpb.exe
- %TEMP%\mqbwcrmh.exe
- %TEMP%\8dqlmugo.zip
- %TEMP%\vjt2aomg.exe
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\s-1-5-18\d42cc0c3858a58db2db37658219e6400_0cb67e2f-dc95-45ca-8fb8-69bde8e3f814
- %TEMP%\d610cf342e\ramez.exe
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\psouzlpb.exe'
- '%TEMP%\mqbwcrmh.exe' x -aoa -bso0 -bsp1 "%TEMP%\8dqlmugO.zip" -pBp4Y4jG5 -o"%LOCALAPPDATA%\Temp"
- '%TEMP%\vjt2aomg.exe'
- '%TEMP%\d610cf342e\ramez.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\MqbWcrMh.exe" x -aoa -bso0 -bsp1 "%TEMP%\8dqlmugO.zip" -pBp4Y4jG5 -o"%LOCALAPPDATA%\Temp""
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /tn "89UHuZ2jx" /tr "%TEMP%\PsOUZLpB.exe" /sc minute /mo 25 /ru "user" /f (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "89UHuZ2jx" /tr "%TEMP%\PsOUZLpB.exe" /sc minute /mo 25 /ru "user" /f
- '%TEMP%\vjt2aomg.exe' (со скрытым окном)
- '%TEMP%\d610cf342e\ramez.exe' (со скрытым окном)
