Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'Windows Session Manager' = '"%PROGRAMDATA%\services\csrss.exe"'
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\services\csrss.exe
- %TEMP%\9p2i8f~1\state.tmp
- %TEMP%\9p2i8f~1\unverified-microdesc-consensus.tmp
- %TEMP%\9p2i8f~1\cached-certs.tmp
- %TEMP%\9p2i8f~1\cached-microdesc-consensus.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %PROGRAMDATA%\services\csrss.exe
Удаляет следующие файлы
- %TEMP%\9p2i8f~1\unverified-microdesc-consensus
Перемещает следующие файлы
- %TEMP%\9p2i8f~1\state.tmp в %TEMP%\9p2i8f~1\state
- %TEMP%\9p2i8f~1\unverified-microdesc-consensus.tmp в %TEMP%\9p2i8f~1\unverified-microdesc-consensus
- %TEMP%\9p2i8f~1\cached-certs.tmp в %TEMP%\9p2i8f~1\cached-certs
- %TEMP%\9p2i8f~1\cached-microdesc-consensus.tmp в %TEMP%\9p2i8f~1\cached-microdesc-consensus
Сетевая активность
Подключается к
- 'localhost':49160
- '86.#9.21.38':443
- '19#.#09.206.212':443
