Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\systemlogin32bits89.vbs
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %APPDATA%idxxfghfty1.vbs
- %APPDATA%\idxde§!nctrv12.vbs
- %ProgramFiles(x86)%\adobe inc\adobe installer\set-up.exe
- %ProgramFiles(x86)%\adobe inc\adobe installer\uninstall.exe
- %ProgramFiles(x86)%\adobe inc\adobe installer\uninstall.ini
- %TEMP%\1.bat
- %TEMP%\creativecloud\acc\adobedownload\hdinstaller.log
Удаляет следующие файлы
- %TEMP%\$inst\temp_0.tmp
Сетевая активность
Подключается к
- 'pa###bin.com':443
- 'microsoft.com':80
TCP
Другие
- 'pa###bin.com':443
UDP
- DNS ASK pa###bin.com
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%IDXXFGHFTY1.vbs"
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\IDXDE§!NCTRV12.vbs"
- '%ProgramFiles(x86)%\adobe inc\adobe installer\set-up.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -ExecutionPolicy RemoteSigned -File %TEMP%\SysTray.PS1
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\1.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\1.bat" "
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "IEX ([System.Text.Encoding]::UTF8.GetString(@(35,82,101,97,100,32,67,111,110,116,101,110,116,32,79,102,32,80,111,119,101,114,83,104,101,108,108,32,70,105,108,101,3...
