Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'SystemCheck' = 'cmd.exe /c start rundll32 "%ALLUSERSPROFILE%\schk.dll" SystemCheck'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\schk.dll
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\schk.dll
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start rundll32 "%ALLUSERSPROFILE%\schk.dll" SystemCheck' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "get-wmiobject win32_computersystem | select-object -expandproperty domain"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "& nslookup myip.opendns.com resolver1.opendns.com"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start rundll32 "%ALLUSERSPROFILE%\schk.dll" SystemCheck
- '<SYSTEM32>\rundll32.exe' "%ALLUSERSPROFILE%\schk.dll" SystemCheck
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "get-wmiobject win32_computersystem | select-object -expandproperty domain"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "& nslookup myip.opendns.com resolver1.opendns.com"
