Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\avast security
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\qipguard\avast security.exe
- %TEMP%\tmpfb4f.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\qipguard\avast security.exe
Удаляет следующие файлы
- %TEMP%\tmpfb4f.vbs
Сетевая активность
Подключается к
- '62.##4.41.141':27941
TCP
Запросы HTTP POST
- http://62.###.41.141:27941/ via 62.##4.41.141
Другое
Создает и запускает на исполнение
- '%APPDATA%\qipguard\avast security.exe'
- '<SYSTEM32>\cscript.exe' //nologo "%TEMP%\tmpFB4F.vbs"
- '<SYSTEM32>\cmd.exe' /c "%APPDATA%\QipGuard\Avast security.exe"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c @echo off & echo const TriggerTypeLogon=9 : const ActionTypeExecutable=0 : const TASK_LOGON_INTERACTIVE_TOKEN=3 : const createOrUpdateTask=6 : Set service=CreateObject("Schedule.Service") : ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%APPDATA%\QipGuard\Avast security.exe"
- '<SYSTEM32>\cmd.exe' /c @echo off & echo const TriggerTypeLogon=9 : const ActionTypeExecutable=0 : const TASK_LOGON_INTERACTIVE_TOKEN=3 : const createOrUpdateTask=6 : Set service=CreateObject("Schedule.Service") : ...
