Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\ZckgjM TfNez] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\ZckgjM TfNez] 'ImagePath' = '\/.\%WINDIR%\/syStEm32//Microsoft.exe Service 0'
Создает следующие сервисы
- 'ZckgjM TfNez' \/.\%WINDIR%\/syStEm32//Microsoft.exe Service 0
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\microsoft.exe
- nul
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\_@3449.tmp
Самоудаляется.
Сетевая активность
Подключается к
- '10#.#51.245.209':2022
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\microsoft.exe' -auto
- '%WINDIR%\syswow64\cmd.exe' cmd/c ping -n 2 127.0.0.1 > nul && del %TEMP%\_@3449.tmp > nul && exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' cmd/c ping -n 2 127.0.0.1 > nul && del %TEMP%\_@3449.tmp > nul && exit
- '%WINDIR%\syswow64\ping.exe' -n 2 127.0.0.1
