Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\scmbusl] 'ImagePath' = 'system32\drivers\scmbusl.sys'
- [HKLM\System\CurrentControlSet\Services\nolm.sys] 'ImagePath' = '%TEMP%\nolm.sys'
Создает следующие сервисы
- 'scmbusl' system32\drivers\scmbusl.sys
- 'nolm.sys' %TEMP%\\nolm.sys
- 'nolm.sys' %TEMP%\nolm.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\scmbusl.sys
- %TEMP%\load.bat
- <DRIVERS>\scmbusl.sys
- %WINDIR%\temp\udd109.tmp
- %TEMP%\nolm.sys
- %WINDIR%\temp\udd85a.tmp
Удаляет следующие файлы
- %WINDIR%\temp\udd109.tmp
- %TEMP%\scmbusl.sys
- %TEMP%\load.bat
- %WINDIR%\temp\udd85a.tmp
- %TEMP%\nolm.sys
Сетевая активность
TCP
Другие
- '34.##0.144.191':443
- '34.##9.100.209':443
- '34.##7.121.53':443
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c sc stop scmbusl
- '<SYSTEM32>\sc.exe' stop scmbusl
- '<SYSTEM32>\cmd.exe' /c cls
- '<SYSTEM32>\cmd.exe' /c %TEMP%\\load.bat
- '<SYSTEM32>\sc.exe' create scmbusl binPath= system32\drivers\scmbusl.sys type= kernel
- '<SYSTEM32>\sc.exe' start scmbusl
- '<SYSTEM32>\cmd.exe' /c exit
- '<SYSTEM32>\cmd.exe' /c pause
