Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Go2Desktop' = '<SYSTEM32>\sv64.exe -Go2Desktop'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\autfec8.tmp
- C:\win.exe
- %TEMP%\autff17.tmp
- C:\sxchu.exe
- %TEMP%\autff66.tmp
- <Текущая директория>\project1.exe
- %TEMP%\autffc5.tmp
- <Текущая директория>\淘宝特卖.exe
- %WINDIR%\syswow64\com\conf\360safte.dll
- %HOMEPATH%\favorites\淘宝特卖.lnk
- %APPDATA%\microsoft\internet explorer\quick launch\user pinned\taskbar\淘宝特卖.lnk
Удаляет следующие файлы
- %TEMP%\autfec8.tmp
- %TEMP%\autff17.tmp
- %TEMP%\autff66.tmp
- %TEMP%\autffc5.tmp
- %WINDIR%\flash_sa.exe
- <Текущая директория>\project1.exe
Перемещает следующие файлы
- <Текущая директория>\淘宝特卖.exe в %APPDATA%\淘宝特卖\淘宝特卖.exe
Самоудаляется.
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\project1.exe'
- 'C:\sxchu.exe'
- '%WINDIR%\syswow64\cmd.exe' /c Regsvr32 /s "<SYSTEM32>\com\conf\360Safte.dll"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 -n 3&del /q "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c Regsvr32 /s "<SYSTEM32>\com\conf\360Safte.dll"
- '%WINDIR%\syswow64\regsvr32.exe' /s "<SYSTEM32>\com\conf\360Safte.dll"
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 -n 3&del /q "<Полный путь к файлу>"
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
