Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon] 'Userinit' = '<REG_NONE>'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\TermService] 'Start' = '00000002'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\terminalserver\logging\terminalserver.utf8.log
- C:\users\default user\ntuser.dat.log1
- C:\users\default user\ntuser.dat
- %HOMEPATH%\ntuser.log1
- %HOMEPATH%\ntuser
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\default user\ntuser.dat
Удаляет следующие файлы
- %WINDIR%\temp\dmiacf5.tmp
- %WINDIR%\temp\fwtsqmfile00.sqm
- %WINDIR%\temp\ts_548c.tmp
- %WINDIR%\temp\ts_5a4a.tmp
- %WINDIR%\temp\ts_5b54.tmp
- %WINDIR%\temp\ts_624b.tmp
- %WINDIR%\temp\ts_67ca.tmp
- %WINDIR%\temp\ts_6ab9.tmp
- %WINDIR%\temp\ts_6d1b.tmp
- %WINDIR%\temp\ts_947a.tmp
- %WINDIR%\temp\ts_996d.tmp
Изменяет следующие файлы
- C:\users\default\ntuser.dat.log1
- C:\users\default\ntuser.dat
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' printui.dll,PrintUIEntry /dl /n "TerminalServer Printer" /q' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' printui.dll,PrintUIEntry /dl /n "TerminalServer Printer" /q
- '<SYSTEM32>\spoolsv.exe'
Пытается завершить работу операционной системы Windows.
