Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\kmsauto\script.vbs
- %APPDATA%\kmsauto\kmsauto net.exe
- %APPDATA%\kmsauto\megasync.exe
- %LOCALAPPDATA%\msfree inc\kmsauto.ini
- %APPDATA%\kmsauto\test.test
Сетевая активность
Подключается к
- 'ma##r.info':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?08##############
Другие
- 'ma##r.info':443
UDP
- DNS ASK ma##r.info
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\kmsauto\script.vbs"
- '%APPDATA%\kmsauto\kmsauto net.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c md "%LOCALAPPDATA%\MSfree Inc" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c echo test>>"%APPDATA%\kmsauto\test.test" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /D /c del /F /Q "test.test" (со скрытым окном)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\kmsauto\script.vbs" (со скрытым окном)
- '%APPDATA%\kmsauto\kmsauto net.exe' (со скрытым окном)
