Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'JavaUpdate' = '"%APPDATA%\SubDir\JavaUpdate.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\javaupdate
- <SYSTEM32>\tasks\windowssystemhost
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\autorun.inf
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\2424-964-<Имя файла>.exe-16-18-00-999.dump
- %APPDATA%\subdir\javaupdate.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %TEMP%\content\3040-2140-javaupdate.exe-16-18-05-868.dump
- %APPDATA%\logs\03-01-2026
- C:\autorun.inf
- D:\autorun.inf
- %TEMP%\content\1320-3016-javaupdate.exe-16-19-02-097.dump
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\javaupdate.exe.log
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\subdir\javaupdate.exe
Сетевая активность
Подключается к
- 'ip##pi.com':80
- '19#.#88.231.202':4784
- '<LOCALNET>.178.196':4784
TCP
Запросы HTTP GET
- http://ip##pi.com/json/
UDP
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\subdir\javaupdate.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "JavaUpdate" /sc ONLOGON /tr "<Полный путь к файлу>" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "JavaUpdate" /sc ONLOGON /tr "%APPDATA%\SubDir\JavaUpdate.exe" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "WINDOWSSYSTEMHOST" /tr "%APPDATA%\SubDir\JavaUpdate.exe" /sc MINUTE /MO 1 (со скрытым окном)
