Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\is-9P5TJ.tmp\Keygen.exe'
- '%TEMP%\is-N1SOP.tmp\Setup.tmp' /SL5="$10106,138741,56832,%TEMP%\RarSFX0\Setup.exe" /verysilent
- '%TEMP%\RarSFX0\Setup.exe' /verysilent
Запускает на исполнение:
- '<SYSTEM32>\find.exe' /C /I "lm.licenses.adobe.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "na1r.services.adobe.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "hlrcv.stage.adobe.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "lmlicenses.wip4.adobe.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\Setup.cmd" "
- '<SYSTEM32>\find.exe' /C /I "activate.adobe.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "practivate.adobe.com" <DRIVERS>\etc\hosts
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\is-9P5TJ.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-9P5TJ.tmp\_isetup\_isdecmp.dll
- %TEMP%\is-9P5TJ.tmp\is-UFO03.tmp
- %TEMP%\RarSFX0\Setup.exe
- %TEMP%\RarSFX0\Setup.cmd
- %TEMP%\is-N1SOP.tmp\Setup.tmp
Перемещает следующие файлы:
- %TEMP%\is-9P5TJ.tmp\is-UFO03.tmp в %TEMP%\is-9P5TJ.tmp\Keygen.exe
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
