Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
- [<HKLM>\SOFTWARE\Classes\Msi.Package\shell\Open\command] '' = '"<SYSTEM32>\msiexec.exe" /i "%1" %*'
- [<HKLM>\SOFTWARE\Classes\Msi.Patch\shell\Open\command] '' = '"<SYSTEM32>\msiexec.exe" /p "%1" %*'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\MSIServer] 'ImagePath' = '%TEMP%\IXP000.TMP\MsiExec.exe /V'
- [<HKLM>\SYSTEM\ControlSet001\Services\MSIServer] 'ImagePath' = '<SYSTEM32>\msiexec.exe /V'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\IXP000.TMP\msiinst.exe
- %TEMP%\IXP000.TMP\msi.dll
- %TEMP%\IXP000.TMP\msiexec.exe
- %TEMP%\IXP000.TMP\msihnd.dll
- %TEMP%\IXP000.TMP\msimsg.dll
- %TEMP%\IXP000.TMP\cabinet.dll
- %TEMP%\IXP000.TMP\imagehlp.dll
- %TEMP%\IXP000.TMP\mspatcha.dll
- %TEMP%\IXP000.TMP\riched20.dll
- %TEMP%\IXP000.TMP\usp10.dll
- %TEMP%\IXP000.TMP\msls31.dll
- %TEMP%\IXP000.TMP\shfolder.dll
- %TEMP%\IXP000.TMP\instmsi.msi
- %WINDIR%\Installer\2e42c.msi
- %WINDIR%\Installer\MSI2.tmp
- C:\Config.Msi\2e42d.rbs
Удаляет следующие файлы:
- %WINDIR%\Installer\MSI2.tmp
- C:\Config.Msi\2e42d.rbs
Другое:
Ищет следующие окна:
- ClassName: 'MsiHiddenWindow' WindowName: ''
Создает и запускает на исполнение:
- '%TEMP%\IXP000.TMP\msiinst.exe' /i instmsi.msi /qb+
- '%TEMP%\IXP000.TMP\msiexec.exe' /regserver
- '%TEMP%\IXP000.TMP\msiexec.exe' /i instmsi.msi /qb+
- '%TEMP%\IXP000.TMP\msiexec.exe' /V
Запускает на исполнение:
- '<SYSTEM32>\msiexec.exe' /regserverCA
