Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'RuntimeBroker' = '%WINDIR%\RuntimeBroker.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'RuntimeBroker' = '%WINDIR%\RuntimeBroker.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-q6m1a.tmp\<Имя файла>.tmp
- %TEMP%\is-2gbbg.tmp\_isetup\_setup64.tmp
- %TEMP%\is-kduii.tmp\<Имя файла>.tmp
- %TEMP%\is-mn086.tmp\_isetup\_setup64.tmp
- %WINDIR%\is-irked.tmp
- %WINDIR%\is-maqbm.tmp
- %WINDIR%\is-sl4le.tmp
- %WINDIR%\unins000.dat
Удаляет следующие файлы
- %TEMP%\is-2gbbg.tmp\_isetup\_setup64.tmp
- %TEMP%\is-mn086.tmp\_isetup\_setup64.tmp
- %TEMP%\is-kduii.tmp\<Имя файла>.tmp
- %TEMP%\is-q6m1a.tmp\<Имя файла>.tmp
Перемещает следующие файлы
- %WINDIR%\is-irked.tmp в %WINDIR%\unins000.exe
- %WINDIR%\is-maqbm.tmp в %WINDIR%\planetapp.exe
- %WINDIR%\is-sl4le.tmp в %WINDIR%\runtimebroker.exe
Другое
Создает и запускает на исполнение
- '%TEMP%\is-q6m1a.tmp\<Имя файла>.tmp' /SL5="$60246,5084301,1113600,<Полный путь к файлу>"
- '%TEMP%\is-kduii.tmp\<Имя файла>.tmp' /SL5="$601BA,5084301,1113600,<Полный путь к файлу>" /VERYSILENT
Перезапускает анализируемый образец
