Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\PcaSyncSvc_Host] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\PcaSyncSvc_Host] 'ImagePath' = '<SYSTEM32>\svchost.exe -k PcaSyncSvc'
- [HKLM\SYSTEM\CurrentControlSet\Services\PcaSyncSvc_Host\Parameters] 'ServiceDll' = '<SYSTEM32>\PcaSyncSvc.dll'
Создает следующие сервисы
- 'PcaSyncSvc_Host' <SYSTEM32>\svchost.exe -k PcaSyncSvc
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\pcasyncsvc.dll
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C sc stop FACEIT' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C sc stop PcaSyncSvc_Host' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C sc create PcaSyncSvc_Host binPath= "<SYSTEM32>\svchost.exe -k PcaSyncSvc" type= own start= auto' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C sc start PcaSyncSvc_Host' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C sc stop FACEIT
- '%WINDIR%\syswow64\sc.exe' stop FACEIT
- '<SYSTEM32>\cmd.exe' /C sc stop PcaSyncSvc_Host
- '<SYSTEM32>\sc.exe' stop PcaSyncSvc_Host
- '<SYSTEM32>\cmd.exe' /C sc create PcaSyncSvc_Host binPath= "<SYSTEM32>\svchost.exe -k PcaSyncSvc" type= own start= auto
- '<SYSTEM32>\sc.exe' create PcaSyncSvc_Host binPath= "<SYSTEM32>\svchost.exe -k PcaSyncSvc" type= own start= auto
- '<SYSTEM32>\cmd.exe' /C sc start PcaSyncSvc_Host
- '<SYSTEM32>\sc.exe' start PcaSyncSvc_Host
- '<SYSTEM32>\svchost.exe' -k PcaSyncSvc
