Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'System32_Update' = '%APPDATA%\system32_update.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\system32_update.exe
- %APPDATA%\microsoft\windows\start menu\programs\startup\windows update.exe
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%APPDATA%\winlogon.exe" "winlogon.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\system32_update.exe
- %APPDATA%\winlogon.exe
Сетевая активность
Подключается к
- 'localhost':5552
Другое
Создает и запускает на исполнение
- '%APPDATA%\system32_update.exe'
- '%APPDATA%\winlogon.exe'
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%APPDATA%\winlogon.exe" "winlogon.exe" ENABLE (со скрытым окном)
