Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\system event notification service
Вредоносные функции
Создает и загружает библиотеки (эксплоит)
- %APPDATA%\retourna.db
Запускает на исполнение (эксплоит)
- '%WINDIR%\explorer.exe' "%TEMP%\GFB_Service-Agreement_MDB_AF-Jun2020_P HOP DONG TRA SAU.doc"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\retourna.db
- %TEMP%\gfb_service-agreement_mdb_af-jun2020_p hop dong tra sau.doc
- %PROGRAMDATA%\mpsvc.dll
- %PROGRAMDATA%\msmpeng.exe
Другое
Создает и запускает на исполнение
- '%WINDIR%\explorer.exe' "%TEMP%\GFB_Service-Agreement_MDB_AF-Jun2020_P HOP DONG TRA SAU.doc"' (со скрытым окном)
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\GFB_Service-Agreement_MDB_AF-Jun2020_P HOP DONG TRA SAU.doc"' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\GFB_Service-Agreement_MDB_AF-Jun2020_P HOP DONG TRA SAU.doc"
