Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Pqrstu Wxyabcde Ghi] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Pqrstu Wxyabcde Ghi] 'ImagePath' = '<SYSTEM32>\svchost.exe -k imgsvc'
Создает следующие сервисы
- 'Pqrstu Wxyabcde Ghi' <SYSTEM32>\svchost.exe -k imgsvc
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\283267ct.bat
- <Текущая директория>\xx.vbs
- <Текущая директория>\jbcdefghi_net.exe
- C:\589100.dll
- C:\nt_path.jpg
- C:\net-temp.ini
- %ProgramFiles(x86)%\uqrs\aqrstuvwx.bmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\283267ct.bat
Удаляет следующие файлы
- <Текущая директория>\xx.vbs
- %TEMP%\283267ct.bat
- C:\net-temp.ini
Подменяет следующие файлы
- C:\net-temp.ini
Сетевая активность
UDP
- DNS ASK ta#####19981.ticp.net
Другое
Создает и запускает на исполнение
- '<Текущая директория>\jbcdefghi_net.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\283267CT.bat" "<Полный путь к файлу>" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\283267CT.bat" "<Полный путь к файлу>" "
- '%WINDIR%\syswow64\cscript.exe' //nologo xx.vbs
