Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\PSEXESVC] 'ImagePath' = '%WINDIR%\PSEXESVC.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\PSEXESVC.exe
- %TEMP%\7zS1.tmp\PsExec.exe
- %TEMP%\7zS1.tmp\nircmd.exe
- %ProgramFiles%\GTC
- %WINDIR%\Temp\GTC_Cred-install.log
- \Device\LanmanRedirector\CRNJEUFU\pipe\PSEXESVC
- %TEMP%\7zS1.tmp\gtc_cred.exe
- %TEMP%\7zS1.tmp\gtc_cred.xml
- %TEMP%\7zS1.tmp\findpid.cmd
- %TEMP%\7zS1.tmp\bootstrap.cmd
- %TEMP%\7zS1.tmp\payload.cmd
- %TEMP%\7zS1.tmp\nirscript.txt
- %TEMP%\7zS1.tmp\nirpid.txt
Удаляет следующие файлы:
- %WINDIR%\PSEXESVC.exe
Сетевая активность:
Подключается к:
- '<LOCALNET>.0.2':139
- 'localhost':445
Другое:
Создает и запускает на исполнение:
- '%WINDIR%\PSEXESVC.exe'
- '%TEMP%\7zS1.tmp\PsExec.exe' -d -s -accepteula -nobanner -w "%TEMP%\7zS1.tmp" cmd /c bootstrap.cmd
- '%TEMP%\7zS1.tmp\nircmd.exe' script nirscript.txt
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' +r <SYSTEM32>\Tasks\gtc_cred
- '<SYSTEM32>\schtasks.exe' /Create /XML gtc_cred.xml /TN gtc_cred
- '<SYSTEM32>\schtasks.exe' /Run /TN gtc_cred
- '<SYSTEM32>\attrib.exe' +r "%ProgramFiles%\GTC\gtc_cred.exe"
- '<SYSTEM32>\schtasks.exe' /delete /f /TN pwd_set
- '<SYSTEM32>\cmd.exe' /c bootstrap.cmd
- '<SYSTEM32>\cmd.exe' /c findpid.cmd
- '<SYSTEM32>\attrib.exe' -r <SYSTEM32>\Tasks\pwd_set
- '<SYSTEM32>\attrib.exe' -h -s -r "%ProgramFiles%\GTC\gtc_cred.exe"
