Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Microsoft Telemetry] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Microsoft Telemetry] 'ImagePath' = '%WINDIR%\Fonts\sys\LogonUI.exe'
Создает следующие сервисы
- 'Microsoft Telemetry' %WINDIR%\Fonts\sys\LogonUI.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\fonts\sys\logonui.exe
Сетевая активность
Подключается к
- 'on#.#xcvb.pw':80
UDP
- DNS ASK on#.#xcvb.pw
Другое
Создает и запускает на исполнение
- '%WINDIR%\fonts\sys\logonui.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c sc stop "Microsoft Telemetry"
- '<SYSTEM32>\sc.exe' stop "Microsoft Telemetry"
- '<SYSTEM32>\cmd.exe' /c sc delete "Microsoft Telemetry"
- '<SYSTEM32>\sc.exe' delete "Microsoft Telemetry"
- '<SYSTEM32>\cmd.exe' /c sc create "Microsoft Telemetry" binpath= "%WINDIR%\Fonts\sys\LogonUI.exe" start= auto
- '<SYSTEM32>\sc.exe' create "Microsoft Telemetry" binpath= "%WINDIR%\Fonts\sys\LogonUI.exe" start= auto
- '<SYSTEM32>\cmd.exe' /c sc failure "Microsoft Telemetry" actions= restart/10/restart/10/reboot/20 reset= 1
- '<SYSTEM32>\sc.exe' failure "Microsoft Telemetry" actions= restart/10/restart/10/reboot/20 reset= 1
- '<SYSTEM32>\cmd.exe' /c sc start "Microsoft Telemetry"
- '<SYSTEM32>\sc.exe' start "Microsoft Telemetry"
- '<SYSTEM32>\cmd.exe' /c icacls %WINDIR%\fonts\sys /deny *S-1-1-0:F
- '<SYSTEM32>\icacls.exe' %WINDIR%\fonts\sys /deny *S-1-1-0:F
