Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'igfx3pl' = '%ALLUSERSPROFILE%\system32\igfx3pl.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'SPowerHost' = '%ALLUSERSPROFILE%\system32\SPHostd.vbs'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\sphostd.vbs
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\system32\hostd.exe
- %ALLUSERSPROFILE%\system32\hps.vbs
- %ALLUSERSPROFILE%\system32\odbcad64.exe
- %ALLUSERSPROFILE%\system32\pcmd.vbs
- %ALLUSERSPROFILE%\system32\ps.ps1
- %ALLUSERSPROFILE%\system32\startps.bat
- %ALLUSERSPROFILE%\system32\sphostd.vbs
- %ALLUSERSPROFILE%\system32\pcnd.vbs
- %ALLUSERSPROFILE%\system32\patch.exe
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%ALLUSERSPROFILE%\system32\pcmd.vbs"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -executionpolicy bypass -NonInteractive -windowstyle Hidden -file %ALLUSERSPROFILE%\system32\ps.ps1
- '%WINDIR%\syswow64\wscript.exe' "%ALLUSERSPROFILE%\system32\pcnd.vbs"
- '%ALLUSERSPROFILE%\system32\hostd.exe' -p123
- '%ALLUSERSPROFILE%\system32\patch.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -executionpolicy bypass -NonInteractive -windowstyle Hidden -file %ALLUSERSPROFILE%\system32\ps.ps1' (со скрытым окном)
