Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\RarSFX0\icerebralsetup2.exe
- %TEMP%\RarSFX0\curl\unzip.exe e "%TEMP%\RarSFX0\curl\archive.zip" -pSECRET -y
- %TEMP%\RarSFX0\icerebralsetup.exe
Запускает на исполнение:
- <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\mslch.vbs"
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\icerebralsetup.exe
- %TEMP%\RarSFX0\curl\zlib1.dll
- %TEMP%\RarSFX0\curl\unzip.exe
- %PROGRAM_FILES%\mslch.vbs
- %TEMP%\RarSFX0\icerebralsetup2.exe
- %TEMP%\RarSFX0\curl\libssl32.dll
- %TEMP%\RarSFX0\curl\libcurl.dll
- %TEMP%\RarSFX0\curl\curl.exe
- %TEMP%\RarSFX0\curl\archive.zip
- %TEMP%\RarSFX0\curl\libssh2.dll
- %TEMP%\RarSFX0\curl\libidn-11.dll
- %TEMP%\RarSFX0\curl\libeay32.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\mslch.vbs
Удаляет следующие файлы:
- %TEMP%\RarSFX0\icerebralsetup2.exe
- %TEMP%\RarSFX0\icerebralsetup.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
