Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Host-process' = '"%WINDIR%Data\hostdl.exe"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Defender' = '"%WINDIR%Data\defender.exe"'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\3.exe
- %TEMP%\RES4.tmp
- %WINDIR%Data\CSC3.tmp
- %TEMP%\mrt3k2vt.out
- %TEMP%\mrt3k2vt.cmdline
- %TEMP%\mrt3k2vt.0.cs
- %WINDIR%Data\hostdl.exe
- %TEMP%\RES2.tmp
- %WINDIR%Data\History
- %TEMP%\CSC1.tmp
- %TEMP%\g50igewd.out
- %TEMP%\g50igewd.cmdline
- %TEMP%\g50igewd.0.cs
- %TEMP%\2.exe
- %TEMP%\1.exe
- %TEMP%\1.vbs
- %TEMP%\g50igewd.dll
- %WINDIR%Data\defender.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%Data\History
- %WINDIR%Data\hostdl.exe
Удаляет следующие файлы:
- %TEMP%\3.exe
- %TEMP%\RES2.tmp
- %TEMP%\CSC1.tmp
- %TEMP%\RES4.tmp
- %WINDIR%Data\CSC3.tmp
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%TEMP%\1.vbs"
- '%TEMP%\3.exe' x -pnavi1337
- '%TEMP%\1.exe'
- '%TEMP%\2.exe'
- '%WINDIR%Data\hostdl.exe' "%TEMP%\1.exe"
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\g50igewd.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\CSC1.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\mrt3k2vt.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4.tmp" "%WINDIR%Data\CSC3.tmp"
