Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WEUWO] 'ImagePath' = '<Текущая директория>\WEUWOE.sys'
Создает следующие сервисы
- 'WEUWO' <Текущая директория>\WEUWOE.sys
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\delete_self.bat
- <Текущая директория>\weuwoe.sys
- %WINDIR%\temp\udd79b1.tmp
- %WINDIR%\temp\udd823a.tmp
- %WINDIR%\temp\udd8a27.tmp
- %WINDIR%\temp\udd9253.tmp
- %WINDIR%\temp\udd9a30.tmp
- %WINDIR%\temp\udda20e.tmp
Удаляет следующие файлы
- %WINDIR%\temp\udd79b1.tmp
- %WINDIR%\temp\udd823a.tmp
- %WINDIR%\temp\udd8a27.tmp
- %WINDIR%\temp\udd9253.tmp
- %WINDIR%\temp\udd9a30.tmp
- %WINDIR%\temp\udda20e.tmp
Самоудаляется.
Сетевая активность
Подключается к
- '11#.#0.36.189':8009
- '11#.#0.36.189':9008
TCP
Запросы HTTP GET
- http://11#.##.36.189:8009/ArkDrv7.sys via 11#.#0.36.189
Другие
- '11#.#0.36.189':9008
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\delete_self.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\delete_self.bat" "
