Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Windows device core driver] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Windows device core driver] 'ImagePath' = '<SYSTEM32>\rt4oman.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1.tmp\2.bat
- <SYSTEM32>\rt4oman.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\rt4oman.exe
Другое:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\2.bat" <Полный путь к файлу>"
- '<SYSTEM32>\attrib.exe' <SYSTEM32>\rt4oman.exe +r +s +h
- '<SYSTEM32>\sc.exe' create "Windows device core driver" start= auto displayname= "Windows ╔ш▒╕║╦╨─╟¤╢п" binpath= <SYSTEM32>\rt4oman.exe
- '<SYSTEM32>\sc.exe' failure "Windows device core driver" reset= 30 actions= restart/10000
- '<SYSTEM32>\sc.exe' description "Windows device core driver" "╘╦╨╨╟¤╢п│╠╨Є╩╣╝╞╦у╗·╧╡═│─▄╣╗╙ы╙▓╝■╜°╨╨═и╨┼гм╟¤╢п│╠╨Є╩╟╙▓╝■│з╔╠╕∙╛▌▓┘╫ў╧╡═│▒р╨┤╡─┼ф╓├╬─╝■бг"
