Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'winexplorer' = '%APPDATA%\Windows Explorer.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei5842\outlogeer.exe.manifest
- %TEMP%\_mei5842\_ctypes.pyd
- %TEMP%\_mei5842\_hashlib.pyd
- %TEMP%\_mei5842\_socket.pyd
- %TEMP%\_mei5842\_ssl.pyd
- %TEMP%\_mei5842\bz2.pyd
- %TEMP%\_mei5842\pyexpat.pyd
- %TEMP%\_mei5842\python27.dll
- %TEMP%\_mei5842\pywintypes27.dll
- %TEMP%\_mei5842\select.pyd
- %TEMP%\_mei5842\unicodedata.pyd
- %TEMP%\_mei5842\win32pipe.pyd
- %TEMP%\_mei5842\include\pyconfig.h
- %APPDATA%\windows explorer.exe
Сетевая активность
Подключается к
- 'sm##.gmail.com':587
TCP
- 'sm##.gmail.com':587
UDP
- DNS ASK sm##.gmail.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v winexplorer /t REG_SZ /d "%APPDATA%\Windows Explorer.exe""' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v winexplorer /t REG_SZ /d "%APPDATA%\Windows Explorer.exe""
- '%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v winexplorer /t REG_SZ /d "%APPDATA%\Windows Explorer.exe"
