Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders] 'SecurityProviders' = 'credssp.dll, wowfx.dll'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\npad.exe
- %APPDATA%\nvsvc1024.dll
- %TEMP%\4e1f.bat
- %ProgramFiles(x86)%\altcmd\altcmd32.dll
- %ProgramFiles(x86)%\altcmd\altcmd.inf
- %ProgramFiles(x86)%\altcmd\uninstall.bat
- %TEMP%\56e5.bat
Перемещает следующие файлы
- %APPDATA%\nvsvc1024.dll в %WINDIR%\syswow64\wowfx.dll
- %APPDATA%\npad.exe в %WINDIR%\syswow64\npad.exe
Самоперемещается
- из <Полный путь к файлу> в %WINDIR%\syswow64\<Имя файла>.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\npad.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\4E1F.bat (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\56E5.bat (со скрытым окном)
- '%APPDATA%\npad.exe' (со скрытым окном)
