Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\bschk.exe' /nt60 sys
- '%TEMP%\RarSFX0\ConsExt.exe' /crv 0
Запускает на исполнение:
- '<SYSTEM32>\find.exe' "6."
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\find.exe' /i "mini"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\nt6v2.cmd" "
- '<SYSTEM32>\mode.com' con cols=80 lines=25
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\sc.exe
- %TEMP%\RarSFX0\zchzr
- %TEMP%\RarSFX0\PBR6.NT
- %TEMP%\RarSFX0\reg5.exe
- %TEMP%\RarSFX0\attrib5.exe
- %TEMP%\RarSFX0\bs.exe
- %TEMP%\RarSFX0\bschk.exe
- %TEMP%\RarSFX0\bcd
- %TEMP%\RarSFX0\be.exe
- %TEMP%\RarSFX0\ConsExt.exe
- %TEMP%\RarSFX0\find5.exe
- %TEMP%\RarSFX0\bsf3.exe
- %TEMP%\RarSFX0\chcp5.com
- %TEMP%\RarSFX0\mv.exe
- %TEMP%\RarSFX0\PBR6.F16
- %TEMP%\RarSFX0\PBR6.F32
- %TEMP%\RarSFX0\nt6hdd.tmp
- %TEMP%\RarSFX0\nt6v2.cmd
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
