Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\mshelpsrvsv] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\mshelpsrvsv] 'ImagePath' = '%CommonProgramFiles%\Microsoft Shared\Windows Update\svchost.exe'
Создает следующие сервисы
- 'mshelpsrvsv' %CommonProgramFiles%\Microsoft Shared\Windows Update\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bakd0c6.tmp
- %TEMP%\bakd26b.tmp
- <SYSTEM32>\sysprep\$dpx$.tmp\64a6cb8db31c3d489a21cf73fb2ed799.tmp
- <SYSTEM32>\sysprep\panther\diagerr.xml
- <SYSTEM32>\sysprep\panther\diagwrn.xml
- <SYSTEM32>\sysprep\panther\setupact.log
- %CommonProgramFiles%\microsoft shared\windows update\svchost.exe
Перемещает следующие файлы
- <SYSTEM32>\sysprep\$dpx$.tmp\64a6cb8db31c3d489a21cf73fb2ed799.tmp в <SYSTEM32>\sysprep\cryptbase.dll
Сетевая активность
UDP
- DNS ASK up####.micrdsoft.com
Другое
Создает и запускает на исполнение
- '%TEMP%\bakd0c6.tmp'
- '%TEMP%\bakd0c6.tmp' "-i"
- '%CommonProgramFiles%\microsoft shared\windows update\svchost.exe'
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\bakD0C6.tmp"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c wusa.exe "%TEMP%\bakD26B.tmp" /extract:<SYSTEM32>\sysprep\ /quiet' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\sysprep\sysprep.exe "%TEMP%\bakD0C6.tmp" "-i"' (со скрытым окном)
- '%CommonProgramFiles%\microsoft shared\windows update\svchost.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\bakD0C6.tmp"
- '<SYSTEM32>\cmd.exe' /c wusa.exe "%TEMP%\bakD26B.tmp" /extract:<SYSTEM32>\sysprep\ /quiet
- '<SYSTEM32>\wusa.exe' "%TEMP%\bakD26B.tmp" /extract:<SYSTEM32>\sysprep\ /quiet
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\sysprep\sysprep.exe "%TEMP%\bakD0C6.tmp" "-i"
- '<SYSTEM32>\sysprep\sysprep.exe' "%TEMP%\bakD0C6.tmp" "-i"
