Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\NalDrv] 'ImagePath' = '<Текущая директория>\NalDrv.sys'
- [<HKLM>\System\CurrentControlSet\Services\PROCEXP152] 'ImagePath' = '%TEMP%\PROCEXP152.sys'
Создает следующие сервисы
- 'NalDrv' <Текущая директория>\NalDrv.sys
- 'PROCEXP152' %TEMP%\PROCEXP152.sys
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\softwaredistribution\download\ddtpp.sys
- %WINDIR%\softwaredistribution\download\ddtpp.exe
- <Текущая директория>\naldrv.sys
- %TEMP%\procexp152.sys
Удаляет следующие файлы
- %TEMP%\procexp152.sys
- <Текущая директория>\naldrv.sys
- %WINDIR%\softwaredistribution\download\ddtpp.sys
- %WINDIR%\softwaredistribution\download\ddtpp.exe
Сетевая активность
Подключается к
- 'cd#.##scordapp.com':443
TCP
Другие
- 'cd#.##scordapp.com':443
UDP
- DNS ASK cd#.##scordapp.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\softwaredistribution\download\ddtpp.exe' -map %WINDIR%\SoftwareDistribution\Download\DDtpP.sys
- '%WINDIR%\softwaredistribution\download\ddtpp.exe' -map %WINDIR%\SoftwareDistribution\Download\DDtpP.sys' (со скрытым окном)
