Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'wemakeppop' = '%ProgramFiles(x86)%\wemakeppop\wemakeppop.exe'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'wemakeppopmds' = '%ProgramFiles(x86)%\wemakeppop\wemakeppopmds.exe'
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\wemakeppop\cns.dat
- %ProgramFiles(x86)%\wemakeppop\wemakeppop.exe
- %ProgramFiles(x86)%\wemakeppop\wemakeppopmds.exe
- %ProgramFiles(x86)%\wemakeppop\uninst.exe
- %TEMP%\nsj28e4.tmp\selfdelete.dll
- C:\delus.bat
Удаляет следующие файлы
- %TEMP%\nsj28e4.tmp\selfdelete.dll
Самоудаляется.
Сетевая активность
UDP
- DNS ASK we####.adntop.com
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\wemakeppop\wemakeppopmds.exe' /S
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c \DelUS.bat (со скрытым окном)
