Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\TRIXX] 'ImagePath' = 'C:\Users\user\AppData\Local\Temp\TRIXX.sys'
Создает следующие сервисы
- 'TRIXX' C:\Users\user\AppData\Local\Temp\\TRIXX.sys
Изменения в файловой системе
Создает следующие файлы
- D:\users\user\appdata\local\temp\trixx.sys
- D:\windows\system32\winevt\logs\microsoft-windows-networkprofile%4operational.evtx
- D:\windows\system32\winevt\logs\security.evtx
- D:\windows\system32\winevt\logs\system.evtx
- D:\system volume information\syscache.hve
- D:\system volume information\syscache.hve.log1
- D:\users\user\appdata\local\microsoft\windows\usrclass.dat
- D:\users\user\appdata\local\microsoft\windows\usrclass.dat.log1
- D:\windows\system32\winevt\logs\application.evtx
- D:\users\user\ntuser.dat
- D:\windows\system32\winevt\logs\microsoft-windows-fault-tolerant-heap%4operational.evtx
- D:\windows\system32\winevt\logs\microsoft-windows-wer-diag%4operational.evtx
- D:\windows\system32\config\software
- D:\windows\system32\config\software.log1
- D:\windows\appcompat\programs\recentfilecache.bcf
- D:\windows\system32\config\system
- D:\windows\system32\config\system.log1
- D:\users\user\ntuser.dat.log1
- D:\windows\serviceprofiles\localservice\appdata\local\lastalive1.dat
Удаляет следующие файлы
- D:\users\user\appdata\local\temp\trixx.sys
Другое
Ищет следующие окна
- ClassName: 'SystemTray_Main' WindowName: ''
Создает и запускает на исполнение
- 'D:\windows\syswow64\werfault.exe' -u -p 2676 -s 404' (со скрытым окном)
