Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%TEMP%\RarSFX0\A.I.vbs"
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im wscript.exe
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\Install.cmd" "
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\wscript.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\data\Rearm\Tasks\WOATRestore.xml
- %TEMP%\RarSFX0\data\Rearm\Tasks\winwin.xml
- %TEMP%\RarSFX0\data\Rearm\subinacl.exe
- %TEMP%\RarSFX0\data\Rearm\Tasks\WOATValidation.xml
- %TEMP%\RarSFX0\Install.cmd
- %TEMP%\RarSFX0\A.I.vbs
- %TEMP%\RarSFX0\data\Rearm\winwin.cmd
- %TEMP%\RarSFX0\data\Rearm\Rearm.xrm-ms
- %TEMP%\RarSFX0\data\Rearm\bcdedit.exe
- %TEMP%\RarSFX0\data\N7\x86\winwin.exe
- %TEMP%\RarSFX0\data\N7\x64\winwin.exe
- %TEMP%\RarSFX0\data\Rearm\boot.cmd
- %TEMP%\RarSFX0\data\Rearm\Edition.exe
- %TEMP%\RarSFX0\data\Rearm\Default.reg
- %TEMP%\RarSFX0\data\Rearm\Default.jpg
Удаляет следующие файлы:
- %TEMP%\RarSFX0\data\Rearm\Tasks\winwin.xml
- %TEMP%\RarSFX0\data\Rearm\winwin.cmd
- %TEMP%\RarSFX0\data\Rearm\subinacl.exe
- %TEMP%\RarSFX0\data\Rearm\Tasks\WOATRestore.xml
- %TEMP%\RarSFX0\data\N7\x64\winwin.exe
- %TEMP%\RarSFX0\data\N7\x86\winwin.exe
- %TEMP%\RarSFX0\data\Rearm\Tasks\WOATValidation.xml
- %TEMP%\RarSFX0\data\Rearm\Rearm.xrm-ms
- %TEMP%\RarSFX0\data\Rearm\bcdedit.exe
- %TEMP%\RarSFX0\Install.cmd
- %TEMP%\RarSFX0\A.I.vbs
- %TEMP%\RarSFX0\data\Rearm\boot.cmd
- %TEMP%\RarSFX0\data\Rearm\Edition.exe
- %TEMP%\RarSFX0\data\Rearm\Default.reg
- %TEMP%\RarSFX0\data\Rearm\Default.jpg
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
