Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SOFTWARE\' = '"%HOMEPATH%\Roebux\Com Surrogate.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\com surrogate_task-hourly-01
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\roebux\com surrogate.exe
- %TEMP%\tmp7f9a.tmp.bat
- nul
Сетевая активность
Подключается к
- '14#.#85.221.17':59471
TCP
Другие
- '14#.#85.221.17':59471
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\roebux\com surrogate.exe'
- '<SYSTEM32>\attrib.exe' +s +h "%HOMEPATH%\Roebux"' (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +s +h "%HOMEPATH%\Roebux\Com Surrogate.exe"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -ExclusionExtension exe,bat,dll,ps1;exit' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /sc hourly /mo 1 /tn "Com Surrogate_Task-HOURLY-01" /tr "%MyFile%" /st 00:00' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\attrib.exe' +s +h "%HOMEPATH%\Roebux"
- '<SYSTEM32>\attrib.exe' +s +h "%HOMEPATH%\Roebux\Com Surrogate.exe"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp7F9A.tmp.bat""
- '<SYSTEM32>\timeout.exe' 3
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -ExclusionExtension exe,bat,dll,ps1;exit
- '<SYSTEM32>\schtasks.exe' /create /sc hourly /mo 1 /tn "Com Surrogate_Task-HOURLY-01" /tr "%MyFile%" /st 00:00
