Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\SYSTEM\CurrentControlSet\services\Spooler] 'Start' = '00000002'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop spooler
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\0i802ihp.bat
Удаляет следующие файлы
- %TEMP%\0i802ihp.bat
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\0I802IHP.bat" "<Полный путь к файлу>" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\0I802IHP.bat" "<Полный путь к файлу>" "
- '%WINDIR%\syswow64\net1.exe' stop spooler
- '%WINDIR%\syswow64\sc.exe' failure spooler actions= restart/60000/restart/60000// reset= 240
- '%WINDIR%\syswow64\sc.exe' config spooler depend= RPCSS
- '%WINDIR%\syswow64\net.exe' start spooler
- '%WINDIR%\syswow64\net1.exe' start spooler
- '<SYSTEM32>\spoolsv.exe'
- '%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\Spooler" /v Start /t REG_DWORD /d 2 /f
