Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\pre-setting 302xbtks.lnk
Изменения в файловой системе
Создает следующие файлы
- %WINDIR% update\sign231.txt
- %WINDIR% update\wbs.txt
- %WINDIR% update\pnx\wbs.txt
- %WINDIR% update\pnx\dwn_jvhri.exe
- %TEMP%\order_pдشт.vbs
- %WINDIR% update\pnx\tik_muyp.txt
- %TEMP%\order_мwrz.vbs
- %WINDIR% update\pnx\tik_nsbrx.txt
- %TEMP%\order_xwيd.vbs
- %WINDIR% update\pnx\tik_vzgby.txt
- %TEMP%\order_oя.vbs
- %WINDIR% update\pnx\tik_twg.txt
- %TEMP%\order_тlg.vbs
- %WINDIR% update\pnx\tik_pyhbtk.txt
- %TEMP%\order_еovи.vbs
Перемещает следующие файлы
- %WINDIR% update\pnx\dwn_jvhri.exe в %WINDIR% update\pnx\dwn_ftg.exe
Сетевая активность
UDP
- DNS ASK google.com
Другое
Создает и запускает на исполнение
- '%WINDIR% update\pnx\dwn_jvhri.exe'
- '%WINDIR% update\pnx\dwn_ftg.exe'
- '<SYSTEM32>\wscript.exe' "%TEMP%\order_pдشт.vbs"
- '<SYSTEM32>\wscript.exe' "%TEMP%\order_мWrZ.vbs"
- '<SYSTEM32>\wscript.exe' "%TEMP%\order_xWيd.vbs"
- '<SYSTEM32>\wscript.exe' "%TEMP%\order_Oя.vbs"
- '<SYSTEM32>\wscript.exe' "%TEMP%\order_тLg.vbs"
- '<SYSTEM32>\wscript.exe' "%TEMP%\order_еOVи.vbs"
- '<SYSTEM32>\ping.exe' -n 1 www.google.com' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\ping.exe' -n 1 www.google.com
- '<SYSTEM32>\wscript.exe' "%TEMP%\order_ذR.vbs"
- '<SYSTEM32>\wscript.exe' "%TEMP%\order_иJт.vbs"
