Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%tEMP%\fio.Bat"
- '<SYSTEM32>\reg.exe' add "hklm\soFtWARe\miCRoSOfT\INTerNEt exPloREr\MAin" /v tp /t reg_sz /d 1000 /f
- '<SYSTEM32>\netsh.exe' fIrEwaLl AdD allowedprogram name="pdrv" program="<SYSTEM32>\SvchOst.eXE" mode=enable
- '<SYSTEM32>\cmd.exe' /c copy "<Полный путь к вирусу>" "<Полный путь к вирусу>.exe"
- '<SYSTEM32>\cmd.exe' /c "<Полный путь к вирусу>.exe" /res >%tEMP%\fio.Bat
- '<Полный путь к вирусу>.exe' /res
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\pdrv.dll
- %TEMP%\fio.Bat
- <Полный путь к вирусу>.exe
- <DRIVERS>\pdrv.sys
Сетевая активность:
Подключается к:
- 'localhost':8085
