Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = '%APPDATA%\iedgC6jw\iedgC6jw.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\iedgC6jw\iedgC6jw.exe
- %TEMP%\oCnS.vbs
- %TEMP%\aiCsD.vbs
- %TEMP%\Ras.vbs
- %TEMP%\fsFi.vbs
- %TEMP%\IsWdwds.vbs
- %TEMP%\cfusAsc.vbs
- %TEMP%\XEcV.vbs
- %TEMP%\oosU.vbs
- %TEMP%\JSi.vbs
- %TEMP%\cmsFdi.vbs
- %TEMP%\SWFs.vbs
- %TEMP%\sfd.vbs
- %TEMP%\BasFf.vbs
- %TEMP%\CDdKRDF.vbs
- %TEMP%\dSedav.vbs
- %TEMP%\faCmaa.vbs
- %TEMP%\CnWf.vbs
- %TEMP%\ocade.vbs
- %TEMP%\qcoD.vbs
- %TEMP%\Bd.vbs
- %TEMP%\Fa.vbs
- %TEMP%\cFss.vbs
- %TEMP%\dZ.vbs
- %TEMP%\oSEooQ.vbs
- %TEMP%\FAas.vbs
- %TEMP%\jqa.vbs
- %TEMP%\sdsKvK.vbs
- %TEMP%\Daqdc.vbs
- %TEMP%\daa.vbs
- %TEMP%\sKEqc.vbs
- %TEMP%\aInddr.vbs
- %TEMP%\jacs.vbs
- %TEMP%\ArBvJ.vbs
- %TEMP%\adF.vbs
- %TEMP%\avsj.vbs
- %TEMP%\dAzss.vbs
- %TEMP%\adRawjd.vbs
- %TEMP%\CcE.vbs
- %TEMP%\iCWd.vbs
- %TEMP%\dioiai.vbs
- %TEMP%\FaD.vbs
- %TEMP%\Kad.vbs
- %TEMP%\faR.vbs
- %TEMP%\icAs.vbs
- %TEMP%\sof.vbs
- %TEMP%\EzAVS.vbs
- %TEMP%\so.vbs
- %TEMP%\cfds.vbs
- %TEMP%\SOcV.vbs
- %TEMP%\AKEc.vbs
- %TEMP%\dhWaE.vbs
Другое:
Создает и запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%TEMP%\adRawjd.vbs"
- '%APPDATA%\iedgC6jw\iedgC6jw.exe'
