Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'x64' = '%TEMP%\perflib\host.vbs'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\8833800.vbs
- <Имя диска съемного носителя>:\autorun.inf
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\temp.vbs
- %TEMP%\perflib\host.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- <Имя диска съемного носителя>:\8833800.vbs
- <Имя диска съемного носителя>:\autorun.inf
Удаляет следующие файлы
- %TEMP%\temp.vbs
Подменяет следующие файлы
- %TEMP%\temp.vbs
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\temp.vbs"
- '<SYSTEM32>\wscript.exe' "%TEMP%\perflib\host.vbs"
- '<SYSTEM32>\wscript.exe' "%TEMP%\temp.vbs"' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "%TEMP%\perflib\host.vbs"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\temp.vbs"
