Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\H8odqSNW.lnk
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Favorites\Links\Read_Me_T0_Rest0re_Files.rtf
- %HOMEPATH%\Favorites\Read_Me_T0_Rest0re_Files.rtf
- %TEMP%\uvfkMpXO.exe
- %HOMEPATH%\Templates\Read_Me_T0_Rest0re_Files.rtf
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\Start Menu\Programs\Startup\H8odqSNW.lnk
Сетевая активность:
Подключается к:
- 'up####playernow.win':80
TCP:
Запросы HTTP GET:
- http://up####playernow.win/addrecord.php?ap##################################################################################################
- http://up####playernow.win/addrecord.php?ap#####################################################################################
- http://up####playernow.win/addrecord.php?ap######################################################################################################
- http://up####playernow.win/addrecord.php?ap#################################################################################
- http://up####playernow.win/addrecord.php?ap########################################################################################
UDP:
- DNS ASK up####playernow.win
Другое:
Запускает на исполнение:
- '<SYSTEM32>\cacls.exe' "%HOMEPATH%\NTUSER.DAT" /E /G %USERNAME%:F /C
- '<SYSTEM32>\attrib.exe' -R -A -H "%HOMEPATH%\NTUSER.DAT"
- '<SYSTEM32>\cmd.exe' /C CACLS "%HOMEPATH%\NTUSER.DAT" /E /G %USERNAME%:F /C & ATTRIB -R -A -H "%HOMEPATH%\NTUSER.DAT"
- '<SYSTEM32>\cmd.exe' /C attrib +H "%HOMEPATH%\Start Menu\Programs\Startup\H8odqSNW.lnk"
- '<SYSTEM32>\attrib.exe' +H "%HOMEPATH%\Start Menu\Programs\Startup\H8odqSNW.lnk"
