Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\software\microsoft\windows\currentversion\run] 'startAPI' = '%WINDIR%\hartlell.bat'
- [HKCU\software\microsoft\windows\currentversion\run] 'HAHAHA' = '%WINDIR%\hartlell.bat'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\908b.tmp\908c.tmp\908d.bat
- %WINDIR%\hartlell.bat
- volume{04a3ba50-582d-11ef-9a48-806e6f6e6963}
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\908B.tmp\908C.tmp\908D.bat <Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\reg.exe' add hkey_local_machine\software\microsoft\windows\currentversion\run /v startAPI /t reg_sz /d %WINDIR%\hartlell.bat /f
- '<SYSTEM32>\reg.exe' add hkey_current_user\software\microsoft\windows\currentversion\run /v HAHAHA /t reg_sz /d %WINDIR%\hartlell.bat /f
- '<SYSTEM32>\shutdown.exe' -r -f -t 5
- '<SYSTEM32>\format.com' D: /P:1 /y /q
Пытается завершить работу операционной системы Windows.
