Техническая информация
Вредоносные функции
Запускает большое число процессов
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\s.mp3
- %LOCALAPPDATA%\microsoft\windows media\12.0\wmsdkns.xml
- %LOCALAPPDATA%\microsoft\windows media\12.0\wmsdkns.dtd
- %LOCALAPPDATA%\microsoft\windows media\12.0\wmsdkns.xml.bak
- %LOCALAPPDATA%\microsoft\windows media\12.0\wmsdknsd.xml
- %TEMP%\h.bat
Удаляет файлы, которые сам же создал
- %LOCALAPPDATA%\microsoft\windows media\12.0\wmsdkns.xml.bak
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\penworkspace\discovercachedata.dat
Другое
Ищет следующие окна
- ClassName: 'WMPlayerApp' WindowName: ''
- ClassName: 'WordPadClass' WindowName: ''
- ClassName: 'TaskManagerWindow' WindowName: 'Task Manager'
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\h.bat" "
- '<SYSTEM32>\control.exe'
- '<SYSTEM32>\taskmgr.exe'
- '<SYSTEM32>\cmd.exe' /c color 0c & echo HAOS & timeout /t 99999 >nul
- '<SYSTEM32>\notepad.exe'
- '<SYSTEM32>\calc.exe'
- '<SYSTEM32>\mspaint.exe'
- '%ProgramFiles%\windows nt\accessories\wordpad.exe'
- '%ProgramFiles%\windowsapps\microsoft.windowscalculator_10.1906.55.0_x64__8wekyb3d8bbwe\calculator.exe' -ServerName:App.AppXsm3pg4n7er43kdh1qp4e79f1j7am68r8.mca
- '<SYSTEM32>\timeout.exe' /t 99999
- '<SYSTEM32>\svchost.exe' -k LocalSystemNetworkRestricted -p -s DeviceAssociationService
