Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\myfacebookphoto.exe
- %WINDIR%\unlocks.exe
- %WINDIR%\lock.rar
- %WINDIR%\run.bat
- %WINDIR%\excel..exe
- nul
- %WINDIR%\apppatch\skytel.exe
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'M0zilla/5.0' WindowName: '%WINDIR%\excel..exe'
- ClassName: 'M0zilla/5.0' WindowName: '%WINDIR%\AppPatch\skytel.exe'
Создает и запускает на исполнение
- '%WINDIR%\myfacebookphoto.exe'
- '%WINDIR%\unlocks.exe' x lock.rar -o+ -p112233
- '%WINDIR%\excel..exe'
- '%WINDIR%\apppatch\skytel.exe'
- '%WINDIR%\syswow64\cmd.exe' /c echo y|cacls %WINDIR%\AppPatch /c /t /g BUILTIN\Administrators:f' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo y|cacls %WINDIR%\AppPatch /c /t /g everyone:r' (со скрытым окном)
- '%WINDIR%\apppatch\skytel.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c start /min run.bat
- '%WINDIR%\syswow64\cmd.exe' /K run.bat
- '%WINDIR%\syswow64\ping.exe' -n 5 127.1
- '%WINDIR%\syswow64\cmd.exe' /c echo y|cacls %WINDIR%\AppPatch /c /t /g BUILTIN\Administrators:f
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" echo y"
- '%WINDIR%\syswow64\cacls.exe' %WINDIR%\AppPatch /c /t /g BUILTIN\Administrators:f
- '%WINDIR%\syswow64\cmd.exe' /c echo y|cacls %WINDIR%\AppPatch /c /t /g everyone:r
- '%WINDIR%\syswow64\cacls.exe' %WINDIR%\AppPatch /c /t /g everyone:r
