Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\bhkit] 'ImagePath' = 'system32\DRIVERS\bhkit.sys'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1.tmp\install.cmd
- %TEMP%\1.tmp\bhkit.inf
- %TEMP%\1.tmp\bhkit.sys
- %TEMP%\1.tmp\devcon.exe
- %TEMP%\1.tmp\reg.reg
- %TEMP%\1.tmp\bhkit.cat
- %WINDIR%\inf\oem3.inf
- %WINDIR%\inf\oem3.PNF
- <DRIVERS>\SET5.tmp
- %WINDIR%\inf\INFCACHE.0
Удаляет следующие файлы:
- %TEMP%\1.tmp\bhkit.inf
- %TEMP%\1.tmp\bhkit.sys
- %TEMP%\1.tmp\devcon.exe
- %TEMP%\1.tmp\reg.reg
- %TEMP%\1.tmp\bhkit.cat
- %TEMP%\1.tmp\install.cmd
Перемещает следующие системные файлы:
- %WINDIR%\inf\INFCACHE.1 в %WINDIR%\inf\INFCACHE.2
- %WINDIR%\inf\INFCACHE.2 в %WINDIR%\inf\OLDCACHE.000
Перемещает следующие файлы:
- <DRIVERS>\SET5.tmp в <DRIVERS>\bhkit.sys
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение:
- '%TEMP%\1.tmp\devcon.exe' remove root\bhkit
- '%TEMP%\1.tmp\devcon.exe' install bhkit.inf root\bhkit
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\install.cmd" <Полный путь к файлу>"
- '%WINDIR%\regedit.exe' /s reg.reg
- '<SYSTEM32>\runonce.exe' -r
- '<SYSTEM32>\rundll32.exe' newdev.dll,ClientSideInstall \\.\pipe\PNP_Device_Install_Pipe_0.{C1F0F89C-2F58-4FFD-BC8B-3FE6C55D3B05}
