Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\PSEXESVC] 'ImagePath' = '%WINDIR%\PSEXESVC.exe'
Создает следующие сервисы
- 'PSEXESVC' %WINDIR%\PSEXESVC.exe
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\psexec64.exe
- <SYSTEM32>\psexec64.exe
- %WINDIR%\psexesvc.exe
- unc\byhwfkkqsj\pipe\psexesvc
Удаляет следующие файлы
- %WINDIR%\psexesvc.exe
- %WINDIR%\syswow64\psexec64.exe
- <SYSTEM32>\psexec64.exe
Перемещает следующие файлы
- <Полный путь к файлу> в %WINDIR%\temp\1126046\....\client server runtime pricess
- <Полный путь к файлу> в %WINDIR%\temp\_@3340.tmp
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\1124065\....\client server runtime pricess
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\psexec64.exe' -i -d -s <Полный путь к файлу>
- '%WINDIR%\psexesvc.exe'
- '%WINDIR%\syswow64\cmd.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\psexec64.exe' -i -d -s <Полный путь к файлу>' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe'
