Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Update services' = '"<SYSTEM32>\wscript.exe" "%LOCALAPPDATA%\Gnome\core_stablity_report.vbs"'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Send reports' = '"<SYSTEM32>\wscript.exe" "%LOCALAPPDATA%\Gnome\utility_report.vbs"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\yandex search service\update services
- <SYSTEM32>\tasks\yandex search service\send reports
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\reports\core_stablity_report.vbs
- %LOCALAPPDATA%\gnome\core_stablity_report.vbs
- %LOCALAPPDATA%\reports\utility_report.vbs
- %LOCALAPPDATA%\gnome\utility_report.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\reports\core_stablity_report.vbs
- %LOCALAPPDATA%\gnome\core_stablity_report.vbs
- %LOCALAPPDATA%\reports\utility_report.vbs
- %LOCALAPPDATA%\gnome\utility_report.vbs
Сетевая активность
Подключается к
- 'di##ord.com':443
TCP
Другие
- 'di##ord.com':443
UDP
- DNS ASK di##ord.com
Другое
Ищет следующие окна
- ClassName: 'HTML Application Host Window Class' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "Yandex Search Service\Update services" /tr "%LOCALAPPDATA%\Reports\core_stablity_report.vbs" /sc minute /mo 60 /f (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "Yandex Search Service\Send reports" /tr "%LOCALAPPDATA%\Reports\utility_report.vbs" /sc minute /mo 60 /f (со скрытым окном)
