Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\TermService] 'Start' = '00000002'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\terminalserver\logging\terminalserver.utf8.log
- C:\users\default user\ntuser.dat.log1
- C:\users\default user\ntuser.dat
- %HOMEPATH%\ntuser.log1
- %HOMEPATH%\ntuser
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\default user\ntuser.dat
Удаляет следующие файлы
- %WINDIR%\temp\dmiacf5.tmp
- %WINDIR%\temp\fwtsqmfile00.sqm
- %WINDIR%\temp\ts_548c.tmp
- %WINDIR%\temp\ts_5a4a.tmp
- %WINDIR%\temp\ts_5b54.tmp
- %WINDIR%\temp\ts_624b.tmp
- %WINDIR%\temp\ts_67ca.tmp
- %WINDIR%\temp\ts_6ab9.tmp
- %WINDIR%\temp\ts_6d1b.tmp
- %WINDIR%\temp\ts_947a.tmp
- %WINDIR%\temp\ts_996d.tmp
Изменяет следующие файлы
- C:\users\default\ntuser.dat.log1
- C:\users\default\ntuser.dat
Другое
Ищет следующие окна
- ClassName: 'Tform_xpuDWM' WindowName: ''
- ClassName: '' WindowName: 'tsvDWM'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' printui.dll,PrintUIEntry /dl /n "TerminalServer Printer" /q' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' printui.dll,PrintUIEntry /dl /n "TerminalServer Printer" /q
- '<SYSTEM32>\spoolsv.exe'
Пытается завершить работу операционной системы Windows.
