Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\ergvrdvmsk
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\systempropertiesdataexecutionprevention\.exe
- %TEMP%\tmp6595.tmp.bat
- nul
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\systempropertiesdataexecutionprevention\.exe
Сетевая активность
Подключается к
- '18#.#72.128.11':80
TCP
Запросы HTTP GET
- http://18#.#72.128.11//zima.php?mi######
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\systempropertiesdataexecutionprevention\.exe'
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc MINUTE /mo 3 /RL HIGHEST /tn "ERGVRDVMSK" /tr "%ALLUSERSPROFILE%\SystemPropertiesDataExecutionPrevention\.exe"' (со скрытым окном)
- '%ALLUSERSPROFILE%\systempropertiesdataexecutionprevention\.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp6595.tmp.bat""
- '<SYSTEM32>\timeout.exe' 3
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc MINUTE /mo 3 /RL HIGHEST /tn "ERGVRDVMSK" /tr "%ALLUSERSPROFILE%\SystemPropertiesDataExecutionPrevention\.exe"
- '<SYSTEM32>\schtasks.exe' /create /f /sc MINUTE /mo 3 /RL HIGHEST /tn "ERGVRDVMSK" /tr "%ALLUSERSPROFILE%\SystemPropertiesDataExecutionPrevention\.exe"
- '<SYSTEM32>\taskeng.exe' {A18CAACF-72D5-4D39-8821-4025EEB5191C} S-1-5-21-1238866942-1249195528-555854008-1000:txvwci\user:Interactive:[1]
