Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "<Полный путь к файлу>"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut1.tmp
- %WINDIR%\so7nplk0dyts\otherofficeospp\slerror.xml
- %WINDIR%\so7nplk0dyts\svctrigger.xml
- %WINDIR%\so7nplk0dyts\office2010ospp\ospp.vbs
- %WINDIR%\so7nplk0dyts\otherofficeospp\ospp.vbs
- %WINDIR%\so7nplk0dyts\heu_configuration.ini
- %WINDIR%\so7nplk0dyts\x86\cleanospp.exe
- %WINDIR%\so7nplk0dyts\x64\cleanospp.exe
- %WINDIR%\heukmsrenewal\heu_kms_activator.exe
- %WINDIR%\so7nplk0dyts\kms-client.exe
- %WINDIR%\so7nplk0dyts\kms.exe
- %WINDIR%\so7nplk0dyts\kms_x64.exe
- %WINDIR%\so7nplk0dyts\x86\msvcr100.dll
- %WINDIR%\so7nplk0dyts\x64\msvcr100.dll
- %WINDIR%\so7nplk0dyts\x86\secopatcher.dll
- %WINDIR%\so7nplk0dyts\x64\secopatcher.dll
- %WINDIR%\so7nplk0dyts\x86\sppextcomobjhook.dll
- %WINDIR%\so7nplk0dyts\heu_kms_renewal.xml
- %WINDIR%\so7nplk0dyts\office2010ospp\slerror.xml
- %WINDIR%\so7nplk0dyts\pic\zanzhu.ico
- %WINDIR%\so7nplk0dyts\pic\ver.ico
- %WINDIR%\so7nplk0dyts\pic\amt.ico
- %TEMP%\aut2.tmp
- %WINDIR%\so7nplk0dyts\digital.7z
- %TEMP%\aut3.tmp
- %WINDIR%\so7nplk0dyts\cert.7z
- %TEMP%\aut4.tmp
- %WINDIR%\so7nplk0dyts\digitallicence.7z
- %TEMP%\aut5.tmp
- %WINDIR%\so7nplk0dyts\x64\sppextcomobjhook.dll
- %WINDIR%\so7nplk0dyts\kms-server.exe
- %WINDIR%\so7nplk0dyts\7z.exe
- %WINDIR%\so7nplk0dyts\setupcomplete
- %WINDIR%\so7nplk0dyts\pic\ewm.jpg
- %WINDIR%\so7nplk0dyts\pic\head.jpg
- %WINDIR%\so7nplk0dyts\pic\left.jpg
- %WINDIR%\so7nplk0dyts\pic\office.jpg
- %WINDIR%\so7nplk0dyts\pic\shuoming.jpg
- %WINDIR%\so7nplk0dyts\pic\windows.jpg
- %WINDIR%\so7nplk0dyts\kmsmini.7z
- %WINDIR%\so7nplk0dyts\getproductkey
- %WINDIR%\so7nplk0dyts\scriptdir.ini
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\so7nplk0dyts\getproductkey
- %WINDIR%\so7nplk0dyts\x64\msvcr100.dll
- %WINDIR%\so7nplk0dyts\x86\msvcr100.dll
- %WINDIR%\so7nplk0dyts\kms_x64.exe
- %WINDIR%\so7nplk0dyts\kms.exe
- %WINDIR%\so7nplk0dyts\kms-server.exe
- %WINDIR%\so7nplk0dyts\kms-client.exe
- %WINDIR%\so7nplk0dyts\x64\cleanospp.exe
- %WINDIR%\so7nplk0dyts\x86\cleanospp.exe
- %WINDIR%\so7nplk0dyts\otherofficeospp\ospp.vbs
- %WINDIR%\so7nplk0dyts\office2010ospp\ospp.vbs
- %WINDIR%\so7nplk0dyts\svctrigger.xml
- %WINDIR%\so7nplk0dyts\otherofficeospp\slerror.xml
- %WINDIR%\so7nplk0dyts\office2010ospp\slerror.xml
- %WINDIR%\so7nplk0dyts\heu_kms_renewal.xml
- %WINDIR%\so7nplk0dyts\pic\zanzhu.ico
- %WINDIR%\so7nplk0dyts\pic\ver.ico
- %WINDIR%\so7nplk0dyts\pic\amt.ico
- %WINDIR%\so7nplk0dyts\pic\windows.jpg
- %WINDIR%\so7nplk0dyts\pic\shuoming.jpg
- %WINDIR%\so7nplk0dyts\pic\office.jpg
- %WINDIR%\so7nplk0dyts\pic\left.jpg
- %WINDIR%\so7nplk0dyts\pic\head.jpg
- %WINDIR%\so7nplk0dyts\pic\ewm.jpg
- %WINDIR%\so7nplk0dyts\x86\secopatcher.dll
- %WINDIR%\so7nplk0dyts\x64\secopatcher.dll
Удаляет следующие файлы
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut4.tmp
- %TEMP%\aut5.tmp
Другое
Создает и запускает на исполнение
- '%WINDIR%\so7nplk0dyts\7z.exe' x %WINDIR%\So7nPLk0dyTs\KMSmini.7z -y -o%WINDIR%\So7nPLk0dyTs
- '%WINDIR%\so7nplk0dyts\kms.exe'
- '<SYSTEM32>\cmd.exe' /c netsh firewall add allowedprogram "<Полный путь к файлу>"' (со скрытым окном)
- '%WINDIR%\so7nplk0dyts\7z.exe' x %WINDIR%\So7nPLk0dyTs\KMSmini.7z -y -o%WINDIR%\So7nPLk0dyTs' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c echo [Direction] >%windir%\So7nPLk0dyTs\ScriptDir.ini' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c echo Dir=<Текущая директория> >>%windir%\So7nPLk0dyTs\ScriptDir.ini' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c echo Name=<Имя файла>.exe >>%windir%\So7nPLk0dyTs\ScriptDir.ini' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c netsh firewall add allowedprogram "<Полный путь к файлу>"
- '<SYSTEM32>\cmd.exe' /c echo [Direction] >%windir%\So7nPLk0dyTs\ScriptDir.ini
- '<SYSTEM32>\cmd.exe' /c echo Dir=<Текущая директория> >>%windir%\So7nPLk0dyTs\ScriptDir.ini
- '<SYSTEM32>\cmd.exe' /c echo Name=<Имя файла>.exe >>%windir%\So7nPLk0dyTs\ScriptDir.ini
