Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\find.exe' /C /I "ns386119.ovh.net" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "serwer2.paka-service.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "mirillis.pl" <DRIVERS>\etc\hosts
- '%WINDIR%\regedit.exe' "%TEMP%\RarSFX0\Key.reg"
- '<SYSTEM32>\attrib.exe' +r <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "www.mi###lis.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Blockit" protocol=any dir=out action=block remoteip=91.121.143.139
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Blockit" protocol=any dir=out action=block remoteip=176.31.241.10
- '<SYSTEM32>\attrib.exe' -r <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "mirillis.com" <DRIVERS>\etc\hosts
- '<SYSTEM32>\find.exe' /C /I "forskippingurl" <DRIVERS>\etc\hosts
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\MASTERkreatif I Download Software For Free.URL
- %TEMP%\RarSFX0\Key.reg
- %TEMP%\RarSFX0\block.bat
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
