Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Classes\ESF_App\Shell\Open\Command] '' = '%CommonProgramFiles%\SIGNAN~1.EXE "%1"'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\costura\9cc7810a42978b3e4bbdf83cb49e5f5f\costura.dll
- %TEMP%\tmpf334.tmp
- <SYSTEM32>\adobex.reg
- <SYSTEM32>\adobexipro.reg
- <SYSTEM32>\adobedcpro.reg
- <SYSTEM32>\adobedc.reg
- <SYSTEM32>\adobe11.reg
- <SYSTEM32>\adobe11.0.0.reg
- <SYSTEM32>\adobe10.0.reg
- <SYSTEM32>\adobe9.reg
- <SYSTEM32>\adobe8.reg
- %TEMP%\adobesetconfig.bat
- %TEMP%\adobexipro.reg
- %TEMP%\adobex.reg
- %TEMP%\adobedcpro.reg
- %TEMP%\adobedc.reg
- %TEMP%\adobe9.reg
- %TEMP%\adobe8.reg
- %TEMP%\adobe11.reg
- %TEMP%\adobe11.0.0.reg
- %TEMP%\adobe10.0.reg
- %WINDIR%\esf.ico
- %CommonProgramFiles%\signandseal.exe
- %TEMP%\costura\9cc7810a42978b3e4bbdf83cb49e5f5f\npktb.dll
- %TEMP%\tmpf344.tmp
- %APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\e127ca67d1703432a055f19c0d763ac1_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
Удаляет следующие файлы
- %TEMP%\adobe8.reg
- %TEMP%\adobe9.reg
- %TEMP%\adobe10.0.reg
- %TEMP%\adobe11.0.0.reg
- %TEMP%\adobe11.reg
- %TEMP%\adobedc.reg
- %TEMP%\adobedcpro.reg
- %TEMP%\adobexipro.reg
- %TEMP%\adobex.reg
- %TEMP%\adobesetconfig.bat
- %TEMP%\tmpf334.tmp
- %TEMP%\tmpf344.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://pk#.co.ir/download/certificates/certList.xml
UDP
- DNS ASK pk#.co.ir
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\adobeSetConfig.bat"
- '<SYSTEM32>\reg.exe' query "HKEY_CLASSES_ROOT\Software\Adobe\Acrobat\Exe" /s
- '<SYSTEM32>\find.exe' "Reader 8"
- '<SYSTEM32>\find.exe' "Acrobat 8"
