Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'test3' = '\Temp\c1707.vbs'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'test2' = '\Temp\b1707.vbs'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'test1' = '\Temp\a1707.vbs'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v test2 /t REG_SZ /d "\Temp\b1707.vbs" /f
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v test3 /t REG_SZ /d "\Temp\c1707.vbs" /f
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\test.bat" "
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v test1 /t REG_SZ /d "\Temp\a1707.vbs" /f
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\c1707.vbs
- <Текущая директория>\test.bat
- <Текущая директория>\a1707.vbs
- <Текущая директория>\b1707.vbs
Перемещает следующие файлы:
- <Текущая директория>\c1707.vbs в C:\Temp
- <Текущая директория>\b1707.vbs в C:\Temp
- <Текущая директория>\a1707.vbs в C:\Temp
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
