Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\woghdyj.cp.exe
- <Текущая директория>\start.exe
- %TEMP%\nsh254c.tmp
- %TEMP%\nsh254d.tmp\settings.reg
- %TEMP%\nsh254d.tmp\nsexec.dll
- %LOCALAPPDATA%low\low0xzkxy9tq-shm
- %LOCALAPPDATA%low\iwklzso6mgb9-shm
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\woghdyj.cp.exe
Удаляет следующие файлы
- %LOCALAPPDATA%low\low0xzkxy9tq-shm
- %LOCALAPPDATA%low\iwklzso6mgb9-shm
- %TEMP%\nsh254d.tmp\nsexec.dll
- %TEMP%\nsh254d.tmp\settings.reg
Изменяет файл HOSTS.
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\woghdyj.cp.exe'
- '<Текущая директория>\start.exe'
- '%WINDIR%\syswow64\ipconfig.exe' /flushdns' (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s "%TEMP%\nsh254D.tmp\Settings.reg"' (со скрытым окном)
- '%APPDATA%\nn0b3tdg.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\ipconfig.exe' /flushdns
- '%WINDIR%\syswow64\regedit.exe' /s "%TEMP%\nsh254D.tmp\Settings.reg"
- '%WINDIR%\syswow64\schtasks.exe' /create /F /sc minute /mo 5 /tn "Microsoft Compatibility Telemetry{D5G6H7D3Y6U7K8-S2F4G6J6K2G9-L2B4D2S1A3X6}" /tr "%APPDATA%\Windows\Telemetry\CompatTelRunner.exe"
- '%WINDIR%\syswow64\schtasks.exe' /Query /XML /TN "Microsoft Compatibility Telemetry{D5G6H7D3Y6U7K8-S2F4G6J6K2G9-L2B4D2S1A3X6}"
