Техническая информация
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cmd.vbs
- %WINDIR%\temp\termsrv.bat
- %WINDIR%\temp\setup.reg
Удаляет следующие файлы
- %WINDIR%\temp\cmd.vbs
- %WINDIR%\temp\dmi2a28.tmp
- %WINDIR%\temp\fwtsqmfile00.sqm
- %WINDIR%\temp\setup.reg
- %WINDIR%\temp\ts_1085.tmp
- %WINDIR%\temp\ts_126b.tmp
- %WINDIR%\temp\ts_1395.tmp
- %WINDIR%\temp\ts_19c0.tmp
- %WINDIR%\temp\ts_1a3e.tmp
- %WINDIR%\temp\ts_6cd.tmp
- %WINDIR%\temp\ts_910.tmp
- %WINDIR%\temp\ts_98e.tmp
- %WINDIR%\temp\ts_d96.tmp
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%WINDIR%\temp\cmd.vbs"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\Temp\termsrv.bat" " (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del cmd.vbs (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s setup.reg
