Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Explorer' = '%APPDATA%\exploner.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\explorer
Изменения в файловой системе
Создает следующие файлы
- <PATH_SAMPLE>.bmp
- %APPDATA%\exploner.exe
- <Текущая директория>\metlwz.bat
- nul
Удаляет следующие файлы
- <Текущая директория>\metlwz.bat
Сетевая активность
Подключается к
- '255.255.255.255':19428
- '255.255.255.255':19419
- '255.255.255.255':19420
- '255.255.255.255':19421
- '255.255.255.255':19422
- '255.255.255.255':19423
- '255.255.255.255':19424
- '255.255.255.255':19425
- '255.255.255.255':19426
- '255.255.255.255':19427
UDP
- DNS ASK qu#####f.servehttp.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\exploner.exe'
- '%APPDATA%\exploner.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe' <Имя файла>.bmp
- '%WINDIR%\syswow64\cmd.exe' /c metlwz.bat > nul
- '%WINDIR%\syswow64\reg.exe' add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v Explorer /t REG_SZ /d %APPDATA%\exploner.exe /f
- '%WINDIR%\syswow64\schtasks.exe' /CREATE /SC Minute /MO 1 /TR %APPDATA%\exploner.exe /TN Explorer /F
- '<SYSTEM32>\taskeng.exe' {F0A77F79-BD16-4A39-885E-15773790AABC} S-1-5-21-1960123792-2022915161-3775307078-1001:jblspifffu\user:Interactive:[1]
