Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\link_log
- <SYSTEM32>\tasks\one_drivers
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c C:\Drivres\Audio.bat
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\vb9a6d.tmp
- C:\drivres\audio.txt
- C:\drivres\one_drivers.txt
- %HOMEPATH%\adobe\driver\pdf\pid.txt
- %HOMEPATH%\adobe\driver\dwg\pid.txt
- %HOMEPATH%\documents\6d0f0000
Удаляет следующие файлы
- %TEMP%\vb9a6c.tmp
Перемещает следующие файлы
- %HOMEPATH%\documents\vb9a6d.tmp в %TEMP%\vb9a6c.tmp
- C:\drivres\audio.txt в C:\drivres\audio.bat
- C:\drivres\one_drivers.txt в %HOMEPATH%\adobe\driver\pdf\one_drivers.txt
- %HOMEPATH%\adobe\driver\pdf\one_drivers.txt в %HOMEPATH%\adobe\driver\pdf\one_drivers.vbs
- %HOMEPATH%\documents\6d0f0000 в %HOMEPATH%\documents\book1.xlsx
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c C:\Drivres\Audio.bat' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\attrib.exe' +a +h +s "%HOMEPATH%\Adobe"
- '<SYSTEM32>\attrib.exe' +a +h +s "%HOMEPATH%\Daily"
- '<SYSTEM32>\schtasks.exe' /delete /tn Link_log /f
- '<SYSTEM32>\schtasks.exe' /delete /tn One_Drivers /f
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 10 /tn "Link_log" /tr %HOMEPATH%\Adobe\Driver\pdf\dphc.exe
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 20 /tn "One_Drivers" /tr %HOMEPATH%\Adobe\Driver\pdf\One_Drivers.vbs
