Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run] 'jsafesurf' = '%WINDIR%\Help32\safesurf.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %WINDIR%\syswow64\sys\system\your.exe
- %TEMP%\cosmoball.exe
- %TEMP%\is-d1fd8.tmp\is-4id6u.tmp
- %TEMP%\is-gng6j.tmp\_isetup\_regdll.tmp
- %TEMP%\is-gng6j.tmp\_isetup\_setup64.tmp
- %TEMP%\is-gng6j.tmp\_isetup\_shfoldr.dll
- %TEMP%\$inst\4.tmp
- %TEMP%\$inst\5.tmp
- %TEMP%\$inst\7.tmp
- %WINDIR%\help32\safesurf.exe
- %WINDIR%\help32\helper.exe
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'JetSwap SafeSurf'
Создает и запускает на исполнение
- '%TEMP%\cosmoball.exe'
- '%WINDIR%\syswow64\sys\system\your.exe'
- '%TEMP%\is-d1fd8.tmp\is-4id6u.tmp' /SL4 $7027E "%TEMP%\Cosmoball.exe" 5041242 52224
- '%WINDIR%\help32\safesurf.exe'
- '%WINDIR%\help32\helper.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\fondue.exe' /enable-feature:NetFx3 /caller-name:mscoreei.dll
- '<SYSTEM32>\fondue.exe' /enable-feature:NetFx3 /caller-name:mscoreei.dll
- '%WINDIR%\syswow64\sys\system\your.exe' (со скрытым окном)
- '%WINDIR%\help32\safesurf.exe' (со скрытым окном)
- '%WINDIR%\help32\helper.exe' (со скрытым окном)
