Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'mls' = '"%APPDATA%\RAC\mls.exe" -s'
Создает следующие файлы на съемном носителе
- %TEMP%\237384764.tmp
- <Имя диска съемного носителя>:\weeklysheet1215.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\27644748.tmp
- %TEMP%\rcxa2ce.tmp
- %TEMP%\rcxa35c.tmp
- <PATH_SAMPLE>.xlsx
- %TEMP%\237384764.tmp
- %TEMP%\rcxb201.tmp
- %TEMP%\rcxb250.tmp
- %TEMP%\rcxb29f.tmp
- %TEMP%\232154774.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- <PATH_SAMPLE>.xlsx
- %TEMP%\237384764.tmp
Перемещает следующие файлы
- %TEMP%\rcxa2ce.tmp в %TEMP%\27644748.tmp
- %TEMP%\rcxa35c.tmp в %TEMP%\27644748.tmp
- %TEMP%\27644748.tmp в %APPDATA%\rac\mls.exe
- %TEMP%\rcxb201.tmp в %TEMP%\237384764.tmp
- %TEMP%\rcxb250.tmp в %TEMP%\237384764.tmp
- %TEMP%\rcxb29f.tmp в %TEMP%\237384764.tmp
Сетевая активность
UDP
- DNS ASK wx###lytics.ru
Другое
Ищет следующие окна
- ClassName: 'XLMAIN' WindowName: 'Microsoft Excel (Product Activation Failed) - Book1'
- ClassName: 'XLMAIN' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\rac\mls.exe' -s
- '%ProgramFiles%\microsoft office\office14\excel.exe' /dde' (со скрытым окном)
- '%APPDATA%\rac\mls.exe' -s' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' /dde
