Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\scheduledata
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c %APPDATA%\uyx765dyx6.bat
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1568
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\uyx765dyx6.zip
- %APPDATA%\uyx765dyx6.txt
- %APPDATA%\uyx765dyx6.bat
- %HOMEPATH%\documents\vba872.tmp
- %HOMEPATH%\drivedata\files\win.txt
- %HOMEPATH%\drivedata\wins\win.txt
- %TEMP%\1161037.cvr
Удаляет следующие файлы
- %TEMP%\vba871.tmp
- %APPDATA%\uyx765dyx6.zip
Перемещает следующие файлы
- %HOMEPATH%\documents\vba872.tmp в %TEMP%\vba871.tmp
- %APPDATA%\uyx765dyx6.txt в %HOMEPATH%\drivedata\wins\uyx765dyx6.txt
- %HOMEPATH%\drivedata\wins\uyx765dyx6.txt в %HOMEPATH%\drivedata\wins\sctaks.exe
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c %APPDATA%\uyx765dyx6.bat' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\attrib.exe' +a +h +s "%HOMEPATH%\DriveData"
- '<SYSTEM32>\attrib.exe' +a +h +s "%HOMEPATH%\Printers"
- '<SYSTEM32>\attrib.exe' +a +h +s "%HOMEPATH%\Print"
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 10 /tn "ScheduleData" /tr %HOMEPATH%\DriveData\Wins\sctaks.exe
