Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinBioPlugIns' = '"%APPDATA%\notepad.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\winbioplugins
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\isolated storage\8598ec3d\59fd041e
- %APPDATA%\notepad.exe
- %TEMP%\tmpa968.tmp.bat
- %APPDATA%\visualelements\aux\notepad
- nul
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Удаляет следующие файлы
- %APPDATA%\notepad.exe
Подменяет следующие файлы
- %APPDATA%\notepad.exe
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /f /sc ONLOGON /RL HIGHEST /tn "WinBioPlugIns" /tr "%APPDATA%\VisualElements\AUX\notepad"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c md \\?\%APPDATA%\VisualElements\AUX\
- '<SYSTEM32>\cmd.exe' /c SCHTASKS /Create /SC MINUTE /MO 180 /TN "WinBioPlugIns" /TR %APPDATA%\VisualElements\AUX\notepad
- '<SYSTEM32>\schtasks.exe' /Create /SC MINUTE /MO 180 /TN "WinBioPlugIns" /TR %APPDATA%\VisualElements\AUX\notepad
- '<SYSTEM32>\schtasks.exe' /create /f /sc ONLOGON /RL HIGHEST /tn "WinBioPlugIns" /tr "%APPDATA%\VisualElements\AUX\notepad"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmpA968.tmp.bat""
- '<SYSTEM32>\cmd.exe' /c copy %APPDATA%\notepad.exe %APPDATA%\VisualElements\AUX\notepad
- '<SYSTEM32>\timeout.exe' 3
