Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\winmgt_log
- <SYSTEM32>\tasks\winmgt_drivers
- <SYSTEM32>\tasks\winmgt_drive
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cd field_dir & "%ALLUSERSPROFILE%\driverkit\driverkit\driverkit.bat"
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\driverkit\driverkit.zip
- %ProgramFiles%\driver~1\driver~1\driverkit.bat
- %ProgramFiles%\driver~1\driver~1\winmgt.pdf
- %ProgramFiles%\driver~1\driver~1\winmgt.txt
- %HOMEPATH%\adobe\driver\pdf\pid.txt
- %HOMEPATH%\adobe\driver\dwg\pid.txt
Удаляет следующие файлы
- %ALLUSERSPROFILE%\driverkit\driverkit.zip
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c cd field_dir & "%ALLUSERSPROFILE%\driverkit\driverkit\driverkit.bat"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\attrib.exe' +a +h +s "%HOMEPATH%\Adobe"
- '<SYSTEM32>\attrib.exe' +a +h +s "%HOMEPATH%\Daily"
- '<SYSTEM32>\schtasks.exe' /delete /tn Winmgt_log /f
- '<SYSTEM32>\schtasks.exe' /delete /tn Winmgt_Drivers /f
- '<SYSTEM32>\schtasks.exe' /delete /tn Winmgt_Drive /f
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 10 /f /tn "Winmgt_log" /tr %HOMEPATH%\Adobe\Driver\pdf\winmgt.exe
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 20 /f /tn "Winmgt_Drivers" /tr %HOMEPATH%\Adobe\Driver\pdf\Winmgt.vbs
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 20 /f /tn "Winmgt_Drive" /tr C:\LogFiles\Winmgt_Drive.bat
