Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\services
- <SYSTEM32>\tasks\lsm
- <SYSTEM32>\tasks\wmiprvse
- <SYSTEM32>\tasks\winlogon
- <SYSTEM32>\tasks\lsass
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\mozilla\logs\services.exe
- %ALLUSERSPROFILE%\mozilla\logs\c5b4cb5e9653cce737f29f72ba880dd4c4bab27d
- C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\lsm.exe
- C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\101b941d020240259ca4912829b53995ad543df6
- C:\far2\encyclopedia\tap\wmiprvse.exe
- C:\far2\encyclopedia\tap\24dbde2999530ef5fd907494bc374d663924116c
- %ALLUSERSPROFILE%\desktop\winlogon.exe
- %ALLUSERSPROFILE%\desktop\cc11b995f2a76da408ea6a601e682e64743153ad
- C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\lsass.exe
- C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\6203df4a6bafc7c328ee7f6f8ca0a8a838a8a1b9
Сетевая активность
Подключается к
- '14#.#54.69.19':80
Другое
Создает и запускает на исполнение
- 'C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\lsass.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "services" /sc ONLOGON /tr "'%ALLUSERSPROFILE%\Mozilla\logs\services.exe'" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "lsm" /sc ONLOGON /tr "'C:\Recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\lsm.exe'" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "WmiPrvSE" /sc ONLOGON /tr "'C:\Far2\Encyclopedia\tap\WmiPrvSE.exe'" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "winlogon" /sc ONLOGON /tr "'%ALLUSERSPROFILE%\Desktop\winlogon.exe'" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "lsass" /sc ONLOGON /tr "'C:\Recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\lsass.exe'" /rl HIGHEST /f
