Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'fixms' = 'wscript /E:vbs %APPDATA%\Microsoft\Windows\fixd.tmp'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\sccs.exe
- %APPDATA%\microsoft\windows\fix.tmp
- %APPDATA%\microsoft\windows\fixd.tmp
- %APPDATA%\microsoft\windows\scc.exe
Сетевая активность
UDP
- DNS ASK ww######spot.serveblog.net
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' /E:vbs "%APPDATA%\Microsoft\Windows\fix.tmp"
- '%WINDIR%\syswow64\wscript.exe' /E:vbs "%APPDATA%\Microsoft\Windows\fixd.tmp"
- '%APPDATA%\microsoft\windows\scc.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v fixms /d "wscript /E:vbs %APPDATA%\Microsoft\Windows\fixd.tmp" /f (со скрытым окном)
- '%WINDIR%\syswow64\wscript.exe' /E:vbs "%APPDATA%\Microsoft\Windows\fixd.tmp" (со скрытым окном)
- '%APPDATA%\microsoft\windows\scc.exe' (со скрытым окном)
