Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\CRMSvc] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\CRMSvc] 'ImagePath' = '"%APPDATA%\CRMSvc\CRMSvc.exe"'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\CRMSvc\CRMSvc.exe
- %APPDATA%\CRMSvc\CRMSvc.InstallLog
- %APPDATA%\CRMSvc\CRMSvc.InstallState
Удаляет следующие файлы:
- %APPDATA%\CRMSvc\CRMSvc.InstallLog
- %APPDATA%\CRMSvc\CRMSvc.InstallState
Сетевая активность:
Подключается к:
- 'wp#d':80
- '17#.9.8.183':2247
- '88.##8.58.40':2247
- '17#.#.118.173':2247
TCP:
Запросы HTTP GET:
- http://11#.#11.111.1/wpad.dat via wp#d
UDP:
- DNS ASK wp#d
Другое:
Создает и запускает на исполнение:
- '%APPDATA%\CRMSvc\CRMSvc.exe' and Settings\\%USERNAME%\\Application Data\\CRMSvc\\CRMSvc.exe\" --install
- '%APPDATA%\CRMSvc\CRMSvc.exe' and Settings\\%USERNAME%\\Application Data\\CRMSvc\\CRMSvc.exe\"
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' failure \"CRMSvc\" reset= 2 actions= restart/10000
