Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'cmd-1' = '%WINDIR%\cmd-1.exe�'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\cmd-1.exe
- <Текущая директория>\resourse.txt
Самоудаляется.
Сетевая активность
Подключается к
- 'localhost':49175
- 'vi#####.cherkas.pp.ua':80
TCP
Запросы HTTP POST
- http://vi#####.cherkas.pp.ua/php/Saver.php
Другие
- 'localhost':49176
UDP
- DNS ASK vi#####.cherkas.pp.ua
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c tasklist > <Текущая директория>\\resourse.txt
- '%WINDIR%\syswow64\tasklist.exe'
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "<Полный путь к файлу>"
