Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\avast security
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\mirc\avast security.exe
- %TEMP%\tmp9f89.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\mirc\avast security.exe
Удаляет следующие файлы
- %TEMP%\tmp9f89.vbs
Сетевая активность
Подключается к
- '45.##.156.41':27941
TCP
Запросы HTTP POST
- http://45.##.156.41:27941/i via 45.##.156.41
Другое
Создает и запускает на исполнение
- '%APPDATA%\mirc\avast security.exe'
- '<SYSTEM32>\cscript.exe' //nologo "%TEMP%\tmp9F89.vbs"
- '<SYSTEM32>\cmd.exe' /c "%APPDATA%\mIRC\Avast security.exe"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c @echo off & echo const TriggerTypeLogon=9 : const ActionTypeExecutable=0 : const TASK_LOGON_INTERACTIVE_TOKEN=3 : const createOrUpdateTask=6 : Set service=CreateObject("Schedule.Service") : ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%APPDATA%\mIRC\Avast security.exe"
- '<SYSTEM32>\cmd.exe' /c @echo off & echo const TriggerTypeLogon=9 : const ActionTypeExecutable=0 : const TASK_LOGON_INTERACTIVE_TOKEN=3 : const createOrUpdateTask=6 : Set service=CreateObject("Schedule.Service") : ...
