Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '666999666' = '%ALLUSERSPROFILE%\<Имя файла>.exe'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'r3' = '<SYSTEM32>\micro\1.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\124
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\<Имя файла>.exe
- %WINDIR%\syswow64\micro\1.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe'
- '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 && DEL /f <Имя файла>.exe
- '%WINDIR%\syswow64\timeout.exe' /t 1
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Remove -ItemProperty -Path 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' -Name 'r3';New-ItemProperty -Path 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' -Name 'r3' -Value '"<SYS...
- '%WINDIR%\syswow64\cmd.exe' /C schtasks /create /tn \124 /tr "<SYSTEM32>\micro\1.exe" /st 00:00 /du 9999:59 /sc once /ri 60 /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn \124 /tr "<SYSTEM32>\micro\1.exe" /st 00:00 /du 9999:59 /sc once /ri 60 /rl HIGHEST /f
