Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'wuaclt.exe' = '%WINDIR%\video_tarjeta.com'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\a24404.bat
- %WINDIR%\video_tarjeta.com
- <Текущая директория>\msg.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\a24404.bat
- %WINDIR%\video_tarjeta.com
Удаляет следующие файлы
- %TEMP%\a24404.bat
Изменяет файл HOSTS.
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "<Текущая директория>\msg.vbs"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\a24404.bat "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\attrib.exe' %WINDIR%\video_tarjeta.com +r +h
- '%WINDIR%\syswow64\attrib.exe' -r
- '%WINDIR%\syswow64\attrib.exe' <DRIVERS>\etc\hosts +r +h
- '%WINDIR%\syswow64\ipconfig.exe' /flushdns
- '%WINDIR%\syswow64\reg.exe' ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v wuaclt.exe /t REG_SZ /d "%WINDIR%\video_tarjeta.com" /f
- '%WINDIR%\syswow64\ping.exe' -n 1 localhost
