Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\reproductor de windows media.lnk
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\msn-01\windll.exe
- %WINDIR%\syswow64\win\zmwsc\_config.zmwsc
- %WINDIR%\syswow64\win\zmwsc\system.exe
- %WINDIR%\syswow64\win\zmwsc\firewall.exe
- %WINDIR%\syswow64\win\zmwsc\basico.css
- %WINDIR%\syswow64\win\media.ico
- %TEMP%\ci0-temp\reproductor de windows media.set
- %WINDIR%\syswow64\win\_web.zmwsc\index.html
- %TEMP%\gert0.dll
- %WINDIR%\msn-01\win\_web.zmwsc\index.html
- %WINDIR%\msn-01\win\zmwsc\_config.zmwsc
- %WINDIR%\msn-01\win\zmwsc\system.exe
- %WINDIR%\msn-01\win\zmwsc\firewall.exe
- %WINDIR%\msn-01\win\zmwsc\basico.css
- %WINDIR%\msn-01\win\media.ico
- %WINDIR%\msn-01\infections\hosts
- %TEMP%\bt5542.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bt5542.bat
Изменяет файл HOSTS.
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\msn-01\windll.exe'
- '%WINDIR%\syswow64\win\zmwsc\system.exe'
- '%WINDIR%\syswow64\win\zmwsc\firewall.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\bt5542.bat "<SYSTEM32>\win\zmwsc\system.exe" (со скрытым окном)
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\win\zmwsc\fire...
