Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\windows update listner
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Windows Update Listner" dir=in action=allow program="<SYSTEM32>\mppr.exe" enable=yes
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmp21e1.tmp.docx
- %TEMP%\tmp21e2.tmp.exe
- <SYSTEM32>\mppr.exe
- %TEMP%\tmp43e2.tmp.bat
- %TEMP%\tmp530f.tmp
- %TEMP%\tmp532f.tmp
- %HOMEPATH%\desktop.inf
Присваивает атрибут 'скрытый' для следующих файлов
- <SYSTEM32>\mppr.exe
Удаляет следующие файлы
- %TEMP%\tmp530f.tmp
- %TEMP%\tmp532f.tmp
Другое
Создает и запускает на исполнение
- '%TEMP%\tmp21e2.tmp.exe'
- '<SYSTEM32>\mppr.exe'
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\tmp21E1.tmp.docx"
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc minute /mo 5 /tn "Microsoft\Windows\Windows Update Listner" /tr "<SYSTEM32>\mppr.exe" /RL HIGHEST & exit (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c netsh advfirewall firewall add rule name="Windows Update Listner" dir=in action=allow program="<SYSTEM32>\mppr.exe" enable=yes & exit (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp43E2.tmp.bat""
- '<SYSTEM32>\schtasks.exe' /create /f /sc minute /mo 5 /tn "Microsoft\Windows\Windows Update Listner" /tr "<SYSTEM32>\mppr.exe" /RL HIGHEST
