Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'WindowsUpdate' = '"%TEMP%\update_helper.vbs"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\perfc
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\loader.ps1
- %TEMP%\update_helper.vbs
- %TEMP%\content\628-4676-cscript.exe-13-19-10-281.dump
- %APPDATA%\temp\perfc.exe
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cscript.exe' //nologo %TEMP%\update_helper.vbs
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -WindowStyle Hidden -File "%TEMP%\loader.ps1"
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "perfc" /sc ONLOGON /tr "%APPDATA%\temp\perfc.exe" /rl HIGHEST /f
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -WindowStyle Hidden -File "%TEMP%\loader.ps1" (со скрытым окном)
