Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ctfmon' = '"%LOCALAPPDATA%\usnscv.exe"'
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\sysinf.dll
- %LOCALAPPDATA%\usnscv.exe
- <Текущая директория>\winupdate.bat
Сетевая активность
Подключается к
- '17#.#38.160.18':80
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%LOCALAPPDATA%\usnscv.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\winupdate.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\winupdate.bat" "
- '%WINDIR%\syswow64\cmd.exe' /c REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V ctfmon /D "\"%LOCALAPPDATA%\usnscv.exe\"" /f
- '%WINDIR%\syswow64\reg.exe' ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V ctfmon /D "\"%LOCALAPPDATA%\usnscv.exe\"" /f
