Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'mscorelib' = '"%ALLUSERSPROFILE%\tcpsystem.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefoxupdate
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\tcpsystem\combofix32.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /sc minute /mo 1 /tn FirefoxUpdate /tr <Полный путь к файлу> /F (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 1 /tn FirefoxUpdate /tr <Полный путь к файлу> /F
- '<SYSTEM32>\taskeng.exe' {D74B0560-61AC-460D-A9E9-FCD0B0DD8D2C} S-1-5-21-3691498038-2086406363-2140527554-1000:ziyribvx\user:Interactive:[1]
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Get-MpPreference -verbose
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "WindowsUpdate.exe" /sc ONLOGON /tr "%WINDIR%\WindowsUpdate.exe" /rl HIGHEST /f
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /sc minute /mo 1 /tn FirefoxUpdate /tr %WINDIR%\Microsoft\MyClient\WindowsUpdate.exe /F (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 1 /tn FirefoxUpdate /tr %WINDIR%\Microsoft\MyClient\WindowsUpdate.exe /F
- '<Полный путь к файлу>' (со скрытым окном)
- '%WINDIR%\microsoft\myclient\windowsupdate.exe' (со скрытым окном)
