Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\RunOnce] '*1' = '%TEMP%\s.bat'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\okok2
- %TEMP%\s.bat
Удаляет следующие файлы
- %TEMP%\okok2
Подменяет следующие файлы
- %TEMP%\okok2
Сетевая активность
Подключается к
- 'me###fire.com':443
- 'microsoft.com':80
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Другие
- 'me###fire.com':443
UDP
- DNS ASK me###fire.com
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo ok >%tmp%\okok2 && echo (%tmp%\7za.exe e -y -p1625092 -o%tmp% %tmp%\utils.7z) ^>nul ^&^& start /b %tmp%\dss.bat >%tmp%\s.bat && reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Ru...' (со скрытым окном)
- '<SYSTEM32>\ping.exe' -n 30 127.0.0.1' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo ok >%tmp%\okok2 && echo (%tmp%\7za.exe e -y -p1625092 -o%tmp% %tmp%\utils.7z) ^>nul ^&^& start /b %tmp%\dss.bat >%tmp%\s.bat && reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Ru...
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce /t REG_SZ /v *1 /d "%TEMP%\s.bat" /f
- '<SYSTEM32>\ping.exe' -n 30 127.0.0.1
- '<SYSTEM32>\bcdedit.exe' /set {current} safeboot minimal
