Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\NetworkAgent] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\NetworkAgent] 'ImagePath' = '<SYSTEM32>\wwtask.exe -service'
- [<HKLM>\SYSTEM\ControlSet001\Services\Tz0FF] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\Tz0FF] 'ImagePath' = 'system32\DRIVERS\Tz0FF.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\Tz0OTFE] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\Tz0OTFE] 'ImagePath' = 'System32\Drivers\Tz0Otfe.sys'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\NetworkClient\Cfg\core.cfg
- <SYSTEM32>\wwtask.exe
- %WINDIR%\NetworkClient\Cfg\dbsec.cfg
- %WINDIR%\NetworkClient\API\awtask.exe
- %WINDIR%\NetworkClient\Library\tz0ff32.dll
- <DRIVERS>\Tz0FF.sys
- <DRIVERS>\Tz0Otfe.sys
- %WINDIR%\NetworkClient\Library\tz0input.dll
- %WINDIR%\NetworkClient\Cfg\perf.cfg
- %WINDIR%\NetworkClient\Cfg\guard.cfg
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\wwtask.exe
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Program Manager'
Создает и запускает на исполнение:
- '<SYSTEM32>\wwtask.exe' -service
