Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\microsoft.86.36.vbs
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\4.tmp
- %TEMP%\$inst\5.tmp
- %TEMP%\$inst\temp_0.tmp
- %HOMEPATH%\documents\set.exe
- %HOMEPATH%\documents\microsoft.86.36.vbs
- %ProgramFiles(x86)%\microsoft\microsoft\uninstall.exe
- %ProgramFiles(x86)%\microsoft\microsoft\uninstall.ini
- C:\users\public\upload.ps1
- C:\users\public\new.vbs
- C:\users\public\pp.ps1
- C:\users\public\run.vbs
- %TEMP%\creativecloud\acc\adobedownload\hdinstaller.log
Удаляет следующие файлы
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\4.tmp
- %TEMP%\$inst\5.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%HOMEPATH%\Documents\Microsoft.86.36.vbs"
- '%WINDIR%\syswow64\wscript.exe' "C:\Users\Public\run.vbs"
- '%HOMEPATH%\documents\set.exe'
- '%WINDIR%\syswow64\cmd.exe' /c copy "%HOMEPATH%/Documents\Microsoft.86.36.vbs" "%HOMEPATH%/AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.86.36.vbs" /Y' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy "%HOMEPATH%/Documents\Microsoft.86.36.vbs" "%HOMEPATH%/AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft.86.36.vbs" /Y
