Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Classes\Counsellor\Shell\Open\Command] '' = 'wscript.exe //E:vbscript "%1"'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\upgrader.exe
- %TEMP%\4f1ed404-1f2d-e373-2adc-7eaf7058be76.bat
- nul
- %WINDIR%\temp\upgrader.back
- %APPDATA%\microsoft\windows\start menu\programs\microsoft date tools upgrader.back
Удаляет следующие файлы
- %TEMP%\upgrader.exe
Сетевая активность
Подключается к
- 'ap#.##vasight.net':443
TCP
Другие
- 'ap#.##vasight.net':443
UDP
- DNS ASK ap#.##vasight.net
Другое
Создает и запускает на исполнение
- '%TEMP%\upgrader.exe'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\4f1ed404-1f2d-e373-2adc-7eaf7058be76.bat" "' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\4f1ed404-1f2d-e373-2adc-7eaf7058be76.bat" "
- '<SYSTEM32>\timeout.exe' 3
- '<SYSTEM32>\cmd.exe' /c subst I: "%APPDATA%\Microsoft\Windows\Start Menu\Programs"
- '<SYSTEM32>\subst.exe' I: "%APPDATA%\Microsoft\Windows\Start Menu\Programs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online
