Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\explorar-shortcut.lnk
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\hsetup.exe
- %TEMP%\rarsfx0\winc.exe
- %TEMP%\rarsfx1\dist\explorar-shortcut.lnk
- %TEMP%\rarsfx1\dist\explorar.exe
- %TEMP%\rarsfx1\dist\w9xpopen.exe
- %TEMP%\rarsfx1\rr.bat
- %TEMP%\rarsfx1\sc.vbs
- C:\dist\explorar-shortcut.lnk
- C:\dist\explorar.exe
- C:\dist\w9xpopen.exe
- %TEMP%\rarsfx1\tmpconf.txt
Сетевая активность
Подключается к
- 'ip.#2.pl':80
TCP
Запросы HTTP GET
- http://ip.#2.pl/raw
UDP
- DNS ASK ip.#2.pl
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\winc.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\RarSFX1\sc.vbs"
- 'C:\dist\explorar.exe'
- '%TEMP%\rarsfx0\hsetup.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX1\rr.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX1\rr.bat" "
- '%WINDIR%\syswow64\xcopy.exe' /s "dist" C:\dist
- '%WINDIR%\syswow64\xcopy.exe' /s C:\dist\explorar-Shortcut.lnk "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\"
- '%WINDIR%\syswow64\attrib.exe' C:\dist +s +h
