Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'sidebar' = '%APPDATA%\Roaming\Sample.lnk'
- '<Полный путь к вирусу>' (загружен из сети Интернет)
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe'
- '<SYSTEM32>\WScript.exe' "%TEMP%\1.vbs"
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe
- %TEMP%\1.vbs
- %APPDATA%\Roaming\DataWork\<Имя вируса>.exe
- %APPDATA%\Roaming\Sample.lnk
- %TEMP%\Tar7A31.tmp
- %TEMP%\Cab7731.tmp
- %TEMP%\Tar7761.tmp
- %TEMP%\Cab7A20.tmp
- %APPDATA%\Roaming\DataWork\<Имя вируса>.exe
- %TEMP%\Tar7A31.tmp
- %TEMP%\1.vbs
- %TEMP%\Cab7A20.tmp
- %TEMP%\Cab7731.tmp
- %TEMP%\Tar7761.tmp
- '11#.#08.62.33':101
- 'ge.tt':80
- 'www.download.windowsupdate.com':80
- ge.tt/api/1/files/25UqmhA1/0/blob?do######
- www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
- DNS ASK dn#.##ftncsi.com
- DNS ASK ge.tt
- DNS ASK www.download.windowsupdate.com