Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'MSService_v1.0' = '%WINDIR%\system\java.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1.exe
- %TEMP%\glc2951.tmp
- %TEMP%\glj2a99.tmp
- %WINDIR%\syswow64\~glh0000.tmp
- %WINDIR%\syswow64\~glh0001.tmp
- %TEMP%\nsd3a90.tmp
- %WINDIR%\system\java.exe
- %TEMP%\nso4eeb.tmp
Удаляет следующие файлы
- %WINDIR%\syswow64\mssv.exe
- %TEMP%\glj2a99.tmp
- %TEMP%\glc2951.tmp
Перемещает следующие файлы
- %WINDIR%\syswow64\~glh0000.tmp в %WINDIR%\syswow64\winsc.dll
- %WINDIR%\syswow64\~glh0001.tmp в %WINDIR%\syswow64\mssv.exe
Сетевая активность
UDP
- DNS ASK 59##own.cn
Другое
Создает и запускает на исполнение
- '%TEMP%\1.exe'
- '%WINDIR%\syswow64\mssv.exe'
- '%TEMP%\glj2a99.tmp' <SYSTEM32>\WinSC.dll
- '%WINDIR%\system\java.exe'
- '%WINDIR%\syswow64\mssv.exe' /REGSERVER
Запускает на исполнение
- '%TEMP%\1.exe' (со скрытым окном)
