Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\wuauserv] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Themes] 'Start' = '00000002'
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\libcrypto-1_1-x64.dll
- <Текущая директория>\libcurl.dll
- C:\SoftXLic.ini
- <Текущая директория>\SoftXLic.dll
- <Текущая директория>\іхКјЕдЦГ.cfg
- <Текущая директория>\D3DX9_43.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\libcrypto-1_1-x64.dll
- <Текущая директория>\libcurl.dll
- <Текущая директория>\D3DX9_43.dll
- <Текущая директория>\SoftXLic.dll
- <Текущая директория>\іхКјЕдЦГ.cfg
Сетевая активность:
Подключается к:
- 'ks#.###nowncheat.com':80
TCP:
Запросы HTTP POST:
- http://ks#.###nowncheat.com/kss_io/io.php?v=###########################################
UDP:
- DNS ASK ks#.###nowncheat.com
Другое:
Ищет следующие окна:
- ClassName: 'UnrealWindow' WindowName: ''
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' start "Desktop Window Manager Session Manager"
- '<SYSTEM32>\net.exe' start "Themes"
- '<SYSTEM32>\net1.exe' start "Themes"
- '<SYSTEM32>\net1.exe' start "Windows Update"
- '<SYSTEM32>\net.exe' start "Windows Update"
- '<SYSTEM32>\sc.exe' config wuauserv start= auto
- '<SYSTEM32>\sc.exe' config UxSms start= auto
- '<SYSTEM32>\net.exe' start "Desktop Window Manager Session Manager"
- '<SYSTEM32>\sc.exe' config Themes start= auto
