Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\WinD64] 'ImagePath' = '<DRIVERS>\WinD64.sys'
- [<HKLM>\System\CurrentControlSet\Services\WinD64loader] 'ImagePath' = '<DRIVERS>\WinD64loader.sys'
- [<HKLM>\System\CurrentControlSet\Services\RazerSvc] 'ImagePath' = 'C:\RazerSvc.sys'
Изменения в файловой системе
Создает следующие файлы
- C:\razer.exe
- %WINDIR%\temp\uddd221.tmp
- %WINDIR%\temp\uddcd8c.tmp
- %WINDIR%\temp\uddca4f.tmp
- %WINDIR%\temp\uddc5ba.tmp
- %WINDIR%\temp\uddc27d.tmp
- %WINDIR%\temp\uddbaac.tmp
- %WINDIR%\temp\uddb2ca.tmp
- %WINDIR%\temp\uddb172.tmp
- %WINDIR%\temp\uddaa5c.tmp
- %WINDIR%\temp\uddaa3c.tmp
- <DRIVERS>\wind64loader.sys
- <DRIVERS>\wind64.sys
- <SYSTEM32>\wind64.dll
- <SYSTEM32>\wind64.exe
- C:\razersvc.sys
- %WINDIR%\temp\udddb4a.tmp
- %WINDIR%\temp\udde453.tmp
Удаляет следующие файлы
- %WINDIR%\temp\uddaa5c.tmp
- C:\razer.exe
- C:\razersvc.sys
- %WINDIR%\temp\uddaa3c.tmp
- %WINDIR%\temp\uddb172.tmp
- %WINDIR%\temp\uddb2ca.tmp
- %WINDIR%\temp\uddbaac.tmp
- %WINDIR%\temp\uddc27d.tmp
- %WINDIR%\temp\uddc5ba.tmp
- %WINDIR%\temp\uddca4f.tmp
- %WINDIR%\temp\uddd221.tmp
- %WINDIR%\temp\uddcd8c.tmp
- %WINDIR%\temp\udddb4a.tmp
- %WINDIR%\temp\udde453.tmp
Подменяет следующие файлы
- C:\razersvc.sys
Сетевая активность
TCP
Запросы HTTP GET
- http://b1##en.art/wind64.exe
- http://b1##en.art/secondary
- http://b1##en.art/FILE_THIRD
UDP
- DNS ASK b1##en.art
Другое
Создает и запускает на исполнение
- 'C:\razer.exe' /l RazerSvc.sys
- 'C:\razer.exe' /l RazerSvc.sys' (со скрытым окном)
