Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\RTCore64] 'ImagePath' = '%APPDATA%\RTCore64.sys'
- [<HKLM>\System\CurrentControlSet\Services\PROCEXP152] 'ImagePath' = '%TEMP%\PROCEXP152.sys'
Создает следующие сервисы
- 'RTCore64' %APPDATA%\RTCore64.sys
- 'PROCEXP152' %TEMP%\PROCEXP152.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\42f8.tmp\42f9.tmp\430a.bat
- %APPDATA%\lol.sys
- %APPDATA%\ez.exe
- %APPDATA%\rtcore64.sys
- %TEMP%\procexp152.sys
- nul
Удаляет следующие файлы
- %TEMP%\procexp152.sys
- %APPDATA%\rtcore64.sys
- %TEMP%\42f8.tmp\42f9.tmp\430a.bat
Другое
Создает и запускает на исполнение
- '%APPDATA%\ez.exe' -prv 1 -map lol.sys
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\42F8.tmp\42F9.tmp\430A.bat <Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\42F8.tmp\42F9.tmp\430A.bat <Полный путь к файлу>"
- '<SYSTEM32>\ping.exe' localhost -n 1
