Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\jvhitair
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\1335.cmd
- %ALLUSERSPROFILE%\hwew.cmd
- %ALLUSERSPROFILE%\8626.cmd
- nul
- C:\users\public\alpha.pif
- C:\users\public\libraries\jvhitair.url
- %ALLUSERSPROFILE%\621.cmd
Самоперемещается
- из <Полный путь к файлу> в C:\users\public\libraries\jvhitair.pif
Другое
Создает и запускает на исполнение
- 'C:\users\public\alpha.pif' /c mkdir "\\?\%WINDIR% "
- 'C:\users\public\alpha.pif' /c mkdir "\\?\%WINDIR% \SysWOW64"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c C:\\ProgramData\\1335.cmd (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c C:\\ProgramData\\8626.cmd (со скрытым окном)
- '%WINDIR%\syswow64\esentutl.exe' /y C:\\Windows\\System32\\cmd.exe /d C:\\Users\\Public\\alpha.pif /o
- '%WINDIR%\syswow64\extrac32.exe' /C /Y "C:\\Windows\\System32\\KernelBase.dll" "C:\\Windows \\SysWOW64\\amsi.dll
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 10
- '%WINDIR%\syswow64\cmd.exe' /c C:\\ProgramData\\621.cmd (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 10 /tn "Jvhitair" /tr C:\Users\Public\Libraries\\Jvhitair.url"
