Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\BannerBlocker] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\BannerBlocker] 'ImagePath' = '%WINDIR%\SysWOW64\adblack.exe'
Создает следующие сервисы
- 'BannerBlocker' %WINDIR%\SysWOW64\adblack.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\adblack.exe
- %WINDIR%\syswow64\adstop.exe
- %WINDIR%\syswow64\libcurl.dll
- %WINDIR%\syswow64\libcurl-4.dll
- %WINDIR%\syswow64\libeay32.dll
- %WINDIR%\syswow64\libgcc_s_dw2-1.dll
- %WINDIR%\syswow64\libpthread-2.dll
- %WINDIR%\syswow64\mingwm10.dll
- %WINDIR%\syswow64\pthreadgc2.dll
- %WINDIR%\syswow64\ssleay32.dll
- %WINDIR%\syswow64\zlib1.dll
Сетевая активность
Подключается к
- '12#.#17.229.121':80
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\adblack.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c net start BannerBlocker (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' start BannerBlocker
- '%WINDIR%\syswow64\net1.exe' start BannerBlocker
