Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Explorer.lnk
Изменения в файловой системе:
Создает следующие файлы:
- C:\ProgramData\Windows\libcrypto.dll
- C:\ProgramData\Windows\libcrypto-1.0.0.dll
- C:\ProgramData\Windows\Explorer.vbs
- C:\ProgramData\Windows\cpu.vbs
- C:\ProgramData\Windows\Explorer.bat
- C:\ProgramData\Windows\libgmp-10.dll
- C:\ProgramData\Windows\libgmpxx-4.dll
- C:\ProgramData\Windows\libgcc_s_seh-1.dll
- C:\ProgramData\Windows\libcurl-4.dll
- C:\ProgramData\Windows\libgcc_s_dw2-1.dll
- C:\ProgramData\Windows\cpu.bat
- C:\ProgramData\Windows\libsigc-2.0-0.dll
- C:\ProgramData\Windows\libssl.dll
- C:\ProgramData\Windows\libsasl.dll
- C:\ProgramData\Windows\libjansson-4.dll
- C:\ProgramData\Windows\libjson-c-2.dll
- C:\ProgramData\Windows\libz-1.dll
- C:\ProgramData\Windows\svchost.exe
- C:\ProgramData\Windows\libwinpthread-1.dll
- C:\ProgramData\Windows\libssl-1.0.0.dll
- C:\ProgramData\Windows\libstdc++-6.dll
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "C:\ProgramData\Windows\Explorer.vbs"
Запускает на исполнение:
- '<SYSTEM32>\tasklist.exe' /NH /FI "IMAGENAME eq taskmgr.exe"
- '<SYSTEM32>\cmd.exe' /c tasklist /NH /FI "IMAGENAME eq taskmgr.exe"
- '<SYSTEM32>\cmd.exe' /c ""C:\ProgramData\Windows\Explorer.bat" "
