Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MicrosoftDeviceHost' = '%APPDATA%\Microsoft\Windows\Device\devhost.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Windows\Device\devhost.exe
- %TEMP%\tmp2.tmp
- %TEMP%\tmp1.tmp
Перемещает следующие файлы:
- %TEMP%\tmp1.tmp в %TEMP%\devhost.exe
Другое:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c copy "%TEMP%\devhost.exe" "%APPDATA%\Microsoft\Windows\Device\"
- '<SYSTEM32>\cmd.exe' /c reg add "HKCU\software\microsoft\windows\currentversion\run" /v "MicrosoftDeviceHost" /d "%APPDATA%\Microsoft\Windows\Device\devhost.exe" /f
- '<SYSTEM32>\reg.exe' add "HKCU\software\microsoft\windows\currentversion\run" /v "MicrosoftDeviceHost" /d "%APPDATA%\Microsoft\Windows\Device\devhost.exe" /f
- '<SYSTEM32>\cmd.exe' /c del /q "%TEMP%\devhost.exe"
- '<SYSTEM32>\cmd.exe' /c md "%APPDATA%\Microsoft\Windows\Device"
- '<SYSTEM32>\cmd.exe' /c ren "%TEMP%\tmp1.tmp" devhost.exe
