Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsServices' = '%LOCALAPPDATA%\microsoft\WindowsServices.exe�'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\windowsservices.exe
- %APPDATA%\song of iron v 1.0.4.25 plus 2 trainer 64.exe
- %APPDATA%\rat.exe
- %TEMP%\cetrainers\cet2193.tmp\cet_archive.dat
- %TEMP%\cetrainers\cet2193.tmp\song of iron v 1.0.4.25 plus 2 trainer 64.exe
- %TEMP%\cetrainers\cet2193.tmp\extracted\cet_trainer.cetrainer
- %TEMP%\cetrainers\cet2193.tmp\extracted\defines.lua
- %TEMP%\cetrainers\cet2193.tmp\extracted\song of iron v 1.0.4.25 plus 2 trainer 64.exe
- %TEMP%\cetrainers\cet2193.tmp\extracted\lua53-64.dll
- %TEMP%\cetrainers\cet2193.tmp\extracted\libmikmod64.dll
Удаляет следующие файлы
- %TEMP%\cetrainers\cet2193.tmp\extracted\cet_trainer.cetrainer
- %LOCALAPPDATA%\microsoft\windowsservices.exe
Перемещает следующие файлы
- %APPDATA%\rat.exe в %LOCALAPPDATA%\microsoft\windowsservices.exe
Подменяет следующие файлы
- %LOCALAPPDATA%\microsoft\windowsservices.exe
Сетевая активность
Подключается к
- 'gu##rez.xyz':1991
UDP
- DNS ASK gu##rez.xyz
Другое
Создает и запускает на исполнение
- '%APPDATA%\windowsservices.exe'
- '%APPDATA%\song of iron v 1.0.4.25 plus 2 trainer 64.exe'
- '%TEMP%\cetrainers\cet2193.tmp\song of iron v 1.0.4.25 plus 2 trainer 64.exe' -ORIGIN:"%APPDATA%\"
- '%APPDATA%\rat.exe'
- '%TEMP%\cetrainers\cet2193.tmp\extracted\song of iron v 1.0.4.25 plus 2 trainer 64.exe' "%TEMP%\cetrainers\CET2193.tmp\extracted\CET_TRAINER.CETRAINER" "-ORIGIN:%APPDATA%\"
