Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\windows update listner
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Windows Update Listner" dir=in action=allow program="<SYSTEM32>\mppr.exe" enable=yes
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmp6b7e.tmp.docx
- %TEMP%\tmp6b7f.tmp.exe
- <SYSTEM32>\mppr.exe
- %TEMP%\tmp8b2e.tmp.bat
- %TEMP%\tmp9ae7.tmp
- %TEMP%\tmp9b17.tmp
- %HOMEPATH%\desktop.inf
Присваивает атрибут 'скрытый' для следующих файлов
- <SYSTEM32>\mppr.exe
Удаляет следующие файлы
- %TEMP%\tmp9ae7.tmp
- %TEMP%\tmp9b17.tmp
Другое
Создает и запускает на исполнение
- '%TEMP%\tmp6b7f.tmp.exe'
- '<SYSTEM32>\mppr.exe'
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\tmp6B7E.tmp.docx"
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc minute /mo 5 /tn "Microsoft\Windows\Windows Update Listner" /tr "<SYSTEM32>\mppr.exe" /RL HIGHEST & exit (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c netsh advfirewall firewall add rule name="Windows Update Listner" dir=in action=allow program="<SYSTEM32>\mppr.exe" enable=yes & exit (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp8B2E.tmp.bat""
- '<SYSTEM32>\schtasks.exe' /create /f /sc minute /mo 5 /tn "Microsoft\Windows\Windows Update Listner" /tr "<SYSTEM32>\mppr.exe" /RL HIGHEST
