Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'GoogleInc' = '%WINDIR%\system\yffglgbb.vbs'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\phpfb4f.tmp
- %TEMP%\phpfb7e.tmp
- %TEMP%\phpfb7f.tmp
- %WINDIR%\system\yffglgbb.vbs
- %WINDIR%\system\yffglgbb.exe
- %TEMP%\php19c7.tmp
- %TEMP%\php19e7.tmp
- %TEMP%\php19f7.tmp
Удаляет следующие файлы
- %WINDIR%\system\yffglgbb.vbs
Подменяет следующие файлы
- %WINDIR%\system\yffglgbb.vbs
Сетевая активность
UDP
- DNS ASK ka###oto.info
- DNS ASK be###pe.info
- DNS ASK st###gback.info
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%WINDIR%\system\yffglgbb.vbs"
- '%WINDIR%\system\yffglgbb.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v GoogleInc /t REG_SZ /d %WINDIR%\system\yffglgbb.vbs /f
- '%WINDIR%\syswow64\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v GoogleInc /t REG_SZ /d %WINDIR%\system\yffglgbb.vbs /f
- '%WINDIR%\syswow64\cmd.exe' /c C:/Windows/system/yffglgbb.vbs
- '%WINDIR%\system\yffglgbb.exe' (со скрытым окном)
