Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\pwdspio] 'ImagePath' = '<SYSTEM32>\pwdspio.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\pwdrvio] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\pwdrvio] 'ImagePath' = 'system32\pwdrvio.sys'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\PartitionWizards\Microsoft.VC90.CRT.manifest
- <SYSTEM32>\pwdspio.sys
- %TEMP%\PartitionWizards\x64\pwdspio.sys
- %TEMP%\PartitionWizards\x86\pwdspio.sys
- %TEMP%\PartitionWizards\x64\pwdrvio.sys
- %TEMP%\PartitionWizards\x86\pwdrvio.sys
- %TEMP%\PartitionWizards\QtGui4.dll
- %TEMP%\PartitionWizards\QtCore4.dll
- %TEMP%\PartitionWizards\imageformats\qgif4.dll
- %TEMP%\PartitionWizards\msvcr90.dll
- <SYSTEM32>\pwdrvio.sys
- %TEMP%\PartitionWizards\msvcp90.dll
- %TEMP%\PartitionWizards\ikernel.dll
- %TEMP%\PartitionWizards\idriver.dll
- %TEMP%\PartitionWizards\dbghelp.dll
- %TEMP%\PartitionWizards\x64\pwnative.exe
- %TEMP%\PartitionWizards\x86\pwNative.exe
- %TEMP%\PartitionWizards\PartitionWizard.exe
- %TEMP%\PartitionWizards\key.reg
- %TEMP%\PartitionWizards\log.txt
- %TEMP%\PartitionWizards\PartitionWizard.cmd
- %TEMP%\PartitionWizards\msvcm90.dll
- <SYSTEM32>\pwNative.exe
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение:
- '%TEMP%\PartitionWizards\PartitionWizard.exe'
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s key.reg
