Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinBioPlugIns' = '"%APPDATA%\facebook.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\winbioplugins
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\d7827d16-0eb7-4abb-a9e7-620bb8158c2b\agiledotnetrt64.dll
- %APPDATA%\facebook.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Удаляет следующие файлы
- %APPDATA%\facebook.exe
Подменяет следующие файлы
- %APPDATA%\facebook.exe
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /f /sc ONLOGON /RL HIGHEST /tn "WinBioPlugIns" /tr "%APPDATA%\Facebookupdate\AUX\facebook"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c md \\?\%APPDATA%\Facebookupdate\AUX\
- '<SYSTEM32>\cmd.exe' /c SCHTASKS /Create /SC MINUTE /MO 180 /TN "WinBioPlugIns" /TR %APPDATA%\Facebookupdate\AUX\facebook
- '<SYSTEM32>\schtasks.exe' /Create /SC MINUTE /MO 180 /TN "WinBioPlugIns" /TR %APPDATA%\Facebookupdate\AUX\facebook
- '<SYSTEM32>\schtasks.exe' /create /f /sc ONLOGON /RL HIGHEST /tn "WinBioPlugIns" /tr "%APPDATA%\Facebookupdate\AUX\facebook"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmpABB.tmp.bat""
- '<SYSTEM32>\cmd.exe' /c copy %APPDATA%\notepad.exe %APPDATA%\Facebookupdate\AUX\facebook
- '<SYSTEM32>\timeout.exe' 3
