Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'SystemUpdate' = '%TEMP%\8379.tmp\8389.tmp\838A.vbs'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\8379.tmp\8389.tmp\838a.vbs
- %TEMP%\outlook logging\firstrun.log
- %WINDIR%\inf\outlook\outlperf.h
- %WINDIR%\inf\outlook\outlperf.ini
- %WINDIR%\syswow64\perfstringbackup.tmp
- %WINDIR%\syswow64\perfstringbackup.ini
Удаляет файлы, которые сам же создал
- %WINDIR%\syswow64\perfstringbackup.tmp
Сетевая активность
UDP
- DNS ASK ne###.##ficeapps.live.com
Другое
Ищет следующие окна
- ClassName: 'mspim_wnd32' WindowName: 'Microsoft Outlook'
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' %TEMP%\8379.tmp\8389.tmp\838A.vbs //Nologo
Запускает на исполнение
- '%ProgramFiles(x86)%\microsoft office\office16\outlook.exe' -Embedding
- '<SYSTEM32>\wscript.exe' %TEMP%\8379.tmp\8389.tmp\838A.vbs //Nologo (со скрытым окном)
