Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM minion.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\log.bat
- nul
Самоудаляется.
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c whoami
- '<SYSTEM32>\whoami.exe'
- '<SYSTEM32>\cmd.exe' /c REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ClientMin /f
- '<SYSTEM32>\reg.exe' DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ClientMin /f
- '<SYSTEM32>\cmd.exe' /c %ALLUSERSPROFILE%\log.bat
- '<SYSTEM32>\cmd.exe' /C ping 1.#.1.1 -n 1 -w 3000 > Nul & Del /f /q "<Полный путь к файлу>"
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del "<Полный путь к файлу>"
- '<SYSTEM32>\ping.exe' 1.#.1.1 -n 1 -w 3000
- '<SYSTEM32>\choice.exe' /C Y /N /D Y /T 3
- '<SYSTEM32>\timeout.exe' /t 3 /nobreak
- '<SYSTEM32>\timeout.exe' /t 2 /nobreak
- '<SYSTEM32>\timeout.exe' /t 1 /nobreak
