Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im "praetorian.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\kopatel-4it-na-moneti.exe
- %TEMP%\hjapbytav.exe
- %TEMP%\oqqfkatb.bat
- <DRIVERS>\etc\hоsts
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- '255.255.255.255':80
UDP
- DNS ASK kr###lkd.net
- DNS ASK sr#.#ippro.ru
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\hjapbytav.exe' oqqfkatb.bat++kopatel-4it-na-moneti.exe++++++++++++
- '%TEMP%\kopatel-4it-na-moneti.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\oqqfkatb.bat" " (со скрытым окном)
- '%WINDIR%\syswow64\chcp.com' 866
