Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>.exe' = 'C:\System32\<Имя файла>.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\winder.lnk
Изменения в файловой системе
Создает следующие файлы
- C:\system32\<Имя файла>.exe
- %APPDATA%\microsoft\vbs1.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- C:\system32\<Имя файла>.exe
- %APPDATA%\microsoft\vbs1.vbs
Самоперемещается
- из <Полный путь к файлу> в %APPDATA%\<Имя файла>.exe
Сетевая активность
Подключается к
- '16#.#55.255.68':2016
- '<LOCALNET>.5.77':2016
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: 'ÊÓƵԴ'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\Microsoft\VBS1.vbs"
