Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = '%APPDATA%\Microsoft\Windows\ScreenToGif\xlffhdsv.lnk'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\all.jpg
- %APPDATA%\microsoft\windows\screentogif\fl.txt
- %APPDATA%\microsoft\windows\screentogif\xlffhdsv.lnk
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\screentogif\xlffhdsv.lnk
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\screentogif\xlffhdsv.exe' -n
- '%APPDATA%\microsoft\windows\screentogif\xlffhdsv.exe' -n' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "Load" /d "%APPDATA%\Microsoft\Windows\ScreenToGif\xlffhdsv.lnk" /f' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "Load" /d "%APPDATA%\Microsoft\Windows\ScreenToGif\xlffhdsv.lnk" /f
- '%WINDIR%\syswow64\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "Load" /d "%APPDATA%\Microsoft\Windows\ScreenToGif\xlffhdsv.lnk" /f
