Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windowsx64' = '%APPDATA%\windowsx64.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei20362\microsoft.vc90.crt.manifest
- %TEMP%\_mei20362\_ctypes.pyd
- %TEMP%\_mei20362\_hashlib.pyd
- %TEMP%\_mei20362\_socket.pyd
- %TEMP%\_mei20362\_ssl.pyd
- %TEMP%\_mei20362\bolod.exe.manifest
- %TEMP%\_mei20362\bz2.pyd
- %TEMP%\_mei20362\msvcm90.dll
- %TEMP%\_mei20362\msvcp90.dll
- %TEMP%\_mei20362\msvcr90.dll
- %TEMP%\_mei20362\python27.dll
- %TEMP%\_mei20362\select.pyd
- %TEMP%\_mei20362\unicodedata.pyd
- %TEMP%\_mei20362\include\pyconfig.h
- %APPDATA%\windowsx64.exe
Сетевая активность
Подключается к
- '19#.#61.193.99':21923
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Windowsx64 /t REG_SZ /d "%APPDATA%\windowsx64.exe""' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Windowsx64 /t REG_SZ /d "%APPDATA%\windowsx64.exe""
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Windowsx64 /t REG_SZ /d "%APPDATA%\windowsx64.exe"
