Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'iUSB3.0Mon' = 'C:\Users\Public\Libraries\Intell\USB3.0\iusb3mon.exe -o'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\libraries\intell\usb3.0\iusb3mon.exe
- C:\users\public\libraries\intell\usb3.0\winapp.evt
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\libraries\intell\usb3.0\iusb3mon.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'ya##o.com':80
- 'ya##o.com':443
- 'ms#.com':80
- 'ms#.com':443
TCP
Запросы HTTP GET
- http://www.ya##o.com/
- http://www.ms#.com/
Другие
- 'ya##o.com':443
- 'ms#.com':443
UDP
- DNS ASK ya##o.com
- DNS ASK ms#.com
Другое
Создает и запускает на исполнение
- 'C:\users\public\libraries\intell\usb3.0\iusb3mon.exe' -o
- 'C:\users\public\libraries\intell\usb3.0\iusb3mon.exe' -o' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ping 127.0.0.1 -n 3 & del "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ping 127.0.0.1 -n 3 & del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 3
