Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\windows\currentVersion\run] 'MstMonitor' = '%WINDIR%\SysWOW64\mstserv.exe -g -m -s'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\mstserv.exe
- %TEMP%\tztzdel.bat
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Самоперемещается
- из <Полный путь к файлу> в <Текущая директория>\~<Имя файла>.exe
Самоудаляется.
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\mstserv.exe' -g -g
- '%WINDIR%\syswow64\mstserv.exe' -g -g' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\TZTZDEL.bat" "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c reg add HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentVersion\run /v MstMonitor /t REG_SZ /d "%WINDIR%\SysWOW64\mstserv.exe -g -m -s" /f' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\TZTZDEL.bat" "
- '%WINDIR%\syswow64\cmd.exe' /c reg add HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentVersion\run /v MstMonitor /t REG_SZ /d "%WINDIR%\SysWOW64\mstserv.exe -g -m -s" /f
- '%WINDIR%\syswow64\reg.exe' add HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentVersion\run /v MstMonitor /t REG_SZ /d "%WINDIR%\SysWOW64\mstserv.exe -g -m -s" /f
