Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im explorer.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\start.bat
- %TEMP%\rarsfx0\zip.exe
- %TEMP%\rarsfx1\game.exe
- %TEMP%\d83b.tmp\d83c.tmp\d83d.bat
- %TEMP%\rarsfx1\wallpaper.jpg
- nul
- %TEMP%\rarsfx1\file.vbs
- \device\harddiskvolume1\boot\bcd.log
- \device\harddiskvolume1\boot\bcd
Удаляет файлы, которые сам же создал
- %TEMP%\d83b.tmp\d83c.tmp\d83d.bat
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\zip.exe' -p1234
- '%TEMP%\rarsfx1\game.exe'
- '<SYSTEM32>\wscript.exe' "%TEMP%\RarSFX1\File.vbs"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX0\start.bat" "
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\D83B.tmp\D83C.tmp\D83D.bat %TEMP%\RarSFX1\game.exe" (со скрытым окном)
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v "HideIcons" /t REG_DWORD /d 1 /f
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "&{$p='HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StuckRects3';$v=(Get-ItemProperty -Path $p).Settings;$v[8]=3;&Set-ItemProperty -Path $p -Name Settings -Value $v;&Stop-Pr...
- '<SYSTEM32>\reg.exe' add "HKCU\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "%TEMP%\RarSFX1\wallpaper.jpg" /f
- '<SYSTEM32>\rundll32.exe' user32.dll, UpdatePerUserSystemParameters
- '<SYSTEM32>\shutdown.exe' /r /t 0
Пытается завершить работу операционной системы Windows.
