Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\NalDrv] 'ImagePath' = '<Текущая директория>\NalDrv.sys'
- [HKLM\System\CurrentControlSet\Services\PROCEXP152] 'ImagePath' = '<DRIVERS>\PROCEXP152.sys'
Создает следующие сервисы
- 'NalDrv' <Текущая директория>\NalDrv.sys
- 'PROCEXP152' <DRIVERS>\PROCEXP152.sys
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\softwaredistribution\download\taigei64.dll
- %WINDIR%\softwaredistribution\download\drv64.dll
- %WINDIR%\softwaredistribution\download\9wpjx15222bdl69.sys
- %WINDIR%\softwaredistribution\download\fgfhmrxge4g7rl2.exe
- <Текущая директория>\naldrv.sys
- <DRIVERS>\procexp152.sys
- %WINDIR%\temp\udd3977.tmp
- %WINDIR%\temp\udd3978.tmp
Удаляет следующие файлы
- %WINDIR%\softwaredistribution\download\9wpjx15222bdl69.sys
- %WINDIR%\softwaredistribution\download\fgfhmrxge4g7rl2.exe
- %WINDIR%\temp\udd3977.tmp
- <DRIVERS>\procexp152.sys
- <Текущая директория>\naldrv.sys
- %WINDIR%\temp\udd3978.tmp
Другое
Создает и запускает на исполнение
- '%WINDIR%\softwaredistribution\download\fgfhmrxge4g7rl2.exe' -map %WINDIR%\SoftwareDistribution\Download\9wpjx15222bdl69.sys
- '%WINDIR%\softwaredistribution\download\fgfhmrxge4g7rl2.exe' -map %WINDIR%\SoftwareDistribution\Download\9wpjx15222bdl69.sys' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c color a
- '<SYSTEM32>\cmd.exe' /c cls
- '<SYSTEM32>\cmd.exe' /c color c
