Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'ProcessMemoryDiagnosticEvents' = 'wscript.exe "%HOMEPATH%\Favorites\jacket.adf" //e:vbscript //b /adf /kdc /ato /nef '
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'RunFullMemoryDiagnostic' = 'wscript.exe "%HOMEPATH%\Favorites\jolly.kdc" //e:vbscript //b /adf /kdc /ato /nef '
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\processmemorydiagnosticevents
- <SYSTEM32>\tasks\runfullmemorydiagnostic
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\trash.dll
- %HOMEPATH%\favorites\jacket.adf
- %HOMEPATH%\favorites\jolly.kdc
- %TEMP%\arrestw1v
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\trash.dll
Сетевая активность
UDP
- DNS ASK Ev####.squeamish.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%HOMEPATH%\Favorites\jacket.adf" //e:vbscript //b /adf /kdc /ato /nef
- '<SYSTEM32>\wscript.exe' "%HOMEPATH%\Favorites\jolly.kdc" //e:vbscript //b /adf /kdc /ato /nef
- '<SYSTEM32>\wscript.exe' "%HOMEPATH%\Favorites\jacket.adf" //e:vbscript //b /adf /kdc /ato /nef' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "%HOMEPATH%\Favorites\jolly.kdc" //e:vbscript //b /adf /kdc /ato /nef' (со скрытым окном)
