Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ms_run' = '%TEMP%\start.bat'
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\proxy.txt
- %TEMP%\13430c0.bat
- %TEMP%\start.bat
- <DRIVERS>\etc\hosts.txt
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\13430c0.bat
Удаляет следующие файлы
- %TEMP%\13430c0.bat
- %LOCALAPPDATA%\proxy.txt
Изменяет файл HOSTS.
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\13430C0.bat" "<Полный путь к файлу>" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\13430C0.bat" "<Полный путь к файлу>" "
- '%WINDIR%\syswow64\cmd.exe' /K %TEMP%\start.bat
- '%WINDIR%\syswow64\reg.exe' ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v ms_run /t reg_sz /d "%TEMP%\start.bat" /f
- '%WINDIR%\syswow64\attrib.exe' +r +h +s <DRIVERS>\etc\hosts
