Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\alga.exe
Вредоносные функции
Патчит код
в динамической библиотеке
- Процесс osrjysm.exe, модуль SHELL32.dll
- Процесс extractor.exe, модуль SHELL32.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ckz_sp7g\sublime text 3 3059\alga.exe
- %TEMP%\ckz_sp7g\sublime text 3 3059\extractor.exe
- %TEMP%\ckz_sp7g\sublime text 3 3059\serial.txt
- %TEMP%\ckz_sp7g\sublime text 3 3059\setup.msi
- %TEMP%\ckz_sp7g\sublime text 3 3059\sublime text build 3059 setup.exe
- %TEMP%\cfga316.tmp
- %WINDIR%\temp\~df5ebb3e3c15d31cf1.tmp
- %WINDIR%\installer\sourcehash{dd66330c-8796-4f98-8fba-80db5d64c25b}
- %WINDIR%\temp\~df732c309b87d9ffab.tmp
- %WINDIR%\temp\~df2c6b855b410f8fa0.tmp
- %WINDIR%\temp\~dfa83a10f3fb744811.tmp
- %WINDIR%\syswow64\service.exe.config
- %WINDIR%\syswow64\outils.exe.config
- %WINDIR%\syswow64\service.exe
- %WINDIR%\syswow64\outils.exe
- %TEMP%\msidae51.log
Другое
Создает и запускает на исполнение
- '%TEMP%\ckz_sp7g\sublime text 3 3059\extractor.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe' /i "%TEMP%\ckz_SP7G\Sublime Text 3 3059\Setup.msi" (со скрытым окном)
