Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\2asbfcpg.bat
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im svchost.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\2asbfcpg.bat
- <SYSTEM32>\2asbfcpg.bat
- nul
Удаляет следующие файлы
- %TEMP%\2asbfcpg.bat
Сетевая активность
UDP
- 'localhost':63691
- 'localhost':55195
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: '' WindowName: 'View Available Networks'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\2AsBfcpg.bat" "
- '<SYSTEM32>\cmd.exe' /S /D /c" echo %TEMP%\2AsBfcpg.bat "
- '<SYSTEM32>\find.exe' /i "<SYSTEM32>"
- '<SYSTEM32>\cmd.exe' /K "<SYSTEM32>\2AsBfcpg.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" echo <SYSTEM32>\2AsBfcpg.bat "
- '<SYSTEM32>\timeout.exe' /t 10
- '<SYSTEM32>\svchost.exe' -k DcomLaunch
- '<SYSTEM32>\svchost.exe' -k RPCSS
- '<SYSTEM32>\svchost.exe' -k LocalSystemNetworkRestricted
