Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Control Panel\Desktop] 'SCRNSAVE.EXE' = '%WINDIR%\SysWOW64\srvlib.scr'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\media center\pbdaregistersw
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\javatmsup] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\javatmsup] 'ImagePath' = '%WINDIR%\SysWOW64\fwsys.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\idcms.exe
- %TEMP%\14d6a5ae-a497-4af4-8d58-33cabd363fa7
- %WINDIR%\syswow64\fwsys.exe
- %WINDIR%\syswow64\apifw.scr
- %TEMP%\b2ed7c6b-c321-4015-97d0-be82a3f2c1f5
- %WINDIR%\syswow64\srvlib.scr
- %WINDIR%\syswow64\ntwin.exe
- C:\users\public\documents\ntuser{4cb43d7f-7dca-4906-8698-ffffffff70aa0201}.pol
- C:\users\public\documents\ntuser{4cb43d7f-7dca-4906-8698-80051a8580c61103}.pol
Удаляет следующие файлы
- %TEMP%\fsapi.scr
Перемещает следующие файлы
- %TEMP%\14d6a5ae-a497-4af4-8d58-33cabd363fa7 в %TEMP%\dnscpl.exe
- %TEMP%\b2ed7c6b-c321-4015-97d0-be82a3f2c1f5 в %TEMP%\fsapi.scr
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\fwsys.exe' /combine local system
- '%WINDIR%\syswow64\ntwin.exe' nj4
- '%WINDIR%\syswow64\fwsys.exe' /combine local system' (со скрытым окном)
- '%WINDIR%\syswow64\ntwin.exe' nj4' (со скрытым окном)
