Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cacls.exe' config.xml /c /p %USERNAME%:F %USERNAME%s:F SYSTEM:F everyone:F
- '<SYSTEM32>\cacls.exe' commcfg.xml /c /p %USERNAME%:F %USERNAME%s:F SYSTEM:F everyone:F
- '<SYSTEM32>\cacls.exe' commcfg.xml /c /p everyone:R
- '<SYSTEM32>\cacls.exe' "%APPDATA%\SogouExplorer" /c /p everyone:C
- '<SYSTEM32>\cacls.exe' config.xml /c /p everyone:R
- '<SYSTEM32>\cacls.exe' "%APPDATA%\SogouExplorer" /c /p %USERNAME%:F %USERNAME%s:F SYSTEM:F everyone:F
- '<SYSTEM32>\wbem\wmic.exe' userAccount where "Name='%USERNAME%'" get SID /value
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\szl1123 fo.bat""
- '<SYSTEM32>\reg.exe' query "HKCU\Software\TheWorld6" /v "last_install_path"
- '<SYSTEM32>\secedit.exe' /configure /db "%TEMP%\aclusertemp.sdb" /cfg "%TEMP%\aclusertemp.inf" /log "%TEMP%\nul.log"
- '<SYSTEM32>\reg.exe' query "HKCU\Software\TheWorld Chrome\chrome" /v "last_install_path"
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\security\edb.log
- %WINDIR%\security\tmp.edb
- %WINDIR%\security\res2.log
- %WINDIR%\security\res1.log
- %APPDATA%\SogouExplorer\commcfg.xml
- %APPDATA%\SogouExplorer\config.xml
- %WINDIR%\security\edb.chk
- %TEMP%\aclusertemp.sdb
- %TEMP%\tmp3.tmp
- <SYSTEM32>\wbem\AutoRecover\C8463ECBE33BC240263A0B094E46D510.mof
- %TEMP%\1.tmp\szl1123 fo.bat
- %TEMP%\tmp2.tmp
- %TEMP%\aclusertemp.inf
- %WINDIR%\security\edbtmp.log
- %TEMP%\tmp4.tmp
- <SYSTEM32>\wbem\AutoRecover\23BDE61F1F4FACE17E9B0C01F2A1FD9B.mof
Удаляет следующие файлы:
- %TEMP%\aclusertemp.inf
- %TEMP%\aclusertemp.sdb
- %TEMP%\tmp4.tmp
- %TEMP%\tmp2.tmp
- %TEMP%\tmp3.tmp
Перемещает следующие файлы:
- %WINDIR%\security\edbtmp.log в %WINDIR%\security\edb.log
