Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\ampa] 'ImagePath' = '<SYSTEM32>\ampa.sys'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zipsfx.000\microsoft.vc80.crt.manifest
- <SYSTEM32>\ampa.sys
- %TEMP%\7zipsfx.000\log\ampa0.log
- %TEMP%\7zipsfx.000\native\wlh\amd64\fre\ampa.sys
- %TEMP%\7zipsfx.000\native\wlh\x86\fre\ampa.sys
- %TEMP%\7zipsfx.000\scanpartition.dll
- %TEMP%\7zipsfx.000\msvcr80.dll
- %TEMP%\7zipsfx.000\msvcp80.dll
- %TEMP%\7zipsfx.000\mfc80u.dll
- %TEMP%\7zipsfx.000\winchk.exe
- %TEMP%\7zipsfx.000\setupgreen64.exe
- %TEMP%\7zipsfx.000\setupgreen32.exe
- %TEMP%\7zipsfx.000\partassist.exe
- %TEMP%\7zipsfx.000\loaddrv_x64.exe
- %TEMP%\7zipsfx.000\loaddrv_win32.exe
- %TEMP%\7zipsfx.000\epw.exe
- %TEMP%\7zipsfx.000\wnd.ini
- %TEMP%\7zipsfx.000\cfg.ini
- %TEMP%\7zipsfx.000\cn.txt
- %TEMP%\7zipsfx.000\microsoft.vc80.mfc.manifest
- %WINDIR%\syswow64\ampa.sys
- %WINDIR%\temp\uddaa41.tmp
Удаляет следующие файлы
- %WINDIR%\temp\uddaa41.tmp
Сетевая активность
UDP
- DNS ASK di####artition.com
Другое
Создает и запускает на исполнение
- '%TEMP%\7zipsfx.000\partassist.exe'
- '%TEMP%\7zipsfx.000\setupgreen64.exe' -u
- '%TEMP%\7zipsfx.000\loaddrv_x64.exe' -u
- '%TEMP%\7zipsfx.000\setupgreen64.exe'
- '%TEMP%\7zipsfx.000\loaddrv_x64.exe'
- '%TEMP%\7zipsfx.000\setupgreen64.exe' -u' (со скрытым окном)
- '%TEMP%\7zipsfx.000\loaddrv_x64.exe' -u' (со скрытым окном)
- '%TEMP%\7zipsfx.000\setupgreen64.exe' ' (со скрытым окном)
- '%TEMP%\7zipsfx.000\loaddrv_x64.exe' ' (со скрытым окном)
