Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\windowslicense.scr
- %APPDATA%\microsoft\windows\start menu\programs\startup\license.scr
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\528b.tmp\circle_in_3.bat
- %WINDIR%\syswow64\windowspowershell\v1.0\auto.bat
- %WINDIR%\syswow64\windowspowershell\v1.0\media.exe
- %WINDIR%\syswow64\windowspowershell\v1.0\windowslicense.scr
- %WINDIR%\syswow64\windowspowershell\v1.0\license.scr
- %WINDIR%\syswow64\windowspowershell\v1.0\booster.bat
- nul
- %ALLUSERSPROFILE%\system32\auto.bat
- %ALLUSERSPROFILE%\system32\media.exe
- %ALLUSERSPROFILE%\system32\booster.bat
Удаляет файлы, которые сам же создал
- %WINDIR%\syswow64\windowspowershell\v1.0\auto.bat
- %WINDIR%\syswow64\windowspowershell\v1.0\media.exe
- %WINDIR%\syswow64\windowspowershell\v1.0\windowslicense.scr
- %WINDIR%\syswow64\windowspowershell\v1.0\license.scr
- %WINDIR%\syswow64\windowspowershell\v1.0\booster.bat
- %TEMP%\528b.tmp\circle_in_3.bat
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\528B.tmp\Circle_in_3.bat" " (со скрытым окном)
- '%WINDIR%\syswow64\xcopy.exe' auto.bat %ALLUSERSPROFILE%\system32\ /y
- '%WINDIR%\syswow64\xcopy.exe' media.exe %ALLUSERSPROFILE%\system32\ /y
- '%WINDIR%\syswow64\xcopy.exe' WindowsLicense.scr "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" /y
- '%WINDIR%\syswow64\xcopy.exe' License.scr "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" /y
- '%WINDIR%\syswow64\xcopy.exe' booster.bat %ALLUSERSPROFILE%\system32\ /y
- '%WINDIR%\syswow64\xcopy.exe' <Имя файла>.exe %ALLUSERSPROFILE%\system32\system\ /y
