Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'AppRepository' = '"%APPDATA%\Microsoft\Windows\AppRepository\AppRepository.exe"'
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\~tmp6a011e67.exe
- %TEMP%\onedriveupdater.exe
- %APPDATA%\microsoft\windows\apprepository\apprepository.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\~tmp6a011e67.exe
- %APPDATA%\microsoft\windows\apprepository\apprepository.exe
Другое
Создает и запускает на исполнение
- '%TEMP%\onedriveupdater.exe'
- '<Текущая директория>\~tmp6a011e67.exe'
- '%APPDATA%\microsoft\windows\apprepository\apprepository.exe'
Запускает на исполнение
- '<SYSTEM32>\attrib.exe' +h <Текущая директория>\~tmp6a011e67.exe
- '%WINDIR%\explorer.exe' \\?\<Текущая директория>\~tmp6a011e67.exe
- '<SYSTEM32>\attrib.exe' +h %APPDATA%\Microsoft\Windows\AppRepository\AppRepository.exe
- '<SYSTEM32>\attrib.exe' +h %APPDATA%\Microsoft\Windows\AppRepository
- '<SYSTEM32>\reg.exe' add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v AppRepository /t REG_SZ /d \"%APPDATA%\Microsoft\Windows\AppRepository\AppRepository.exe\" /f
- '%WINDIR%\explorer.exe' %APPDATA%\Microsoft\Windows\AppRepository\AppRepository.exe
- '<Текущая директория>\~tmp6a011e67.exe' (со скрытым окном)
- '%APPDATA%\microsoft\windows\apprepository\apprepository.exe' (со скрытым окном)
