Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowsupdate
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\3cc1.tmp\3cd2.tmp\3cd3.bat
- <Текущая директория>\icons8-delete-30.png
- %TEMP%\48e2.tmp\48e3.tmp\48e4.bat
- C:\users\public\documents\icons8-delete-30.png
- nul
- C:\users\public\documents\0.bat
- C:\users\public\documents\0.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\documents\0.vbs
- C:\users\public\documents\0.bat
Удаляет следующие файлы
- %TEMP%\3cc1.tmp\3cd2.tmp\3cd3.bat
- %TEMP%\48e2.tmp\48e3.tmp\48e4.bat
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\3CC1.tmp\3CD2.tmp\3CD3.bat <Полный путь к файлу>"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\48E2.tmp\48E3.tmp\48E4.bat <Полный путь к файлу> am_admin"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\3CC1.tmp\3CD2.tmp\3CD3.bat <Полный путь к файлу>"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' start -verb runas '<Полный путь к файлу>' am_admin
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\48E2.tmp\48E3.tmp\48E4.bat <Полный путь к файлу> am_admin"
- '<SYSTEM32>\cmd.exe' /c 2>NUL ping -4 -n 1 erykvjjyz | findstr [
- '<SYSTEM32>\ping.exe' -4 -n 1 erykvjjyz
- '<SYSTEM32>\findstr.exe' [
- '<SYSTEM32>\attrib.exe' "C:\Users\Public\Documents\s.exe" +h
- '<SYSTEM32>\timeout.exe' /t 5 /nobreak
- '<SYSTEM32>\timeout.exe' /t 2 /nobreak
- '<SYSTEM32>\attrib.exe' -h "C:\Users\Public\Documents\"
- '<SYSTEM32>\schtasks.exe' /create /f /sc Daily /mo 1 /tn "WindowsUpdate" /tr "C:\Users\Public\Documents\0.vbs"
- '<SYSTEM32>\attrib.exe' "C:\Users\Public\Documents\0.vbs" +h
- '<SYSTEM32>\attrib.exe' "C:\Users\Public\Documents\0.bat" +h
- '<SYSTEM32>\attrib.exe' "C:\Users\Public\Documents\1.bat" +h
