Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\hwinfo
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\HWiNFO_203] 'ImagePath' = '%TEMP%\HWiNFO_x64_W7_203.sys'
Создает следующие сервисы
- 'HWiNFO_203' %TEMP%\HWiNFO_x64_W7_203.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zipsfx.000\hwinfo64.exe
- %TEMP%\7zipsfx.001\hwinfo64.ini
- %TEMP%\7zipsfx.001\hwinfo64.exe
- %TEMP%\7zipsfx.001\~hwinfo64.exe-hide~.bat
- %TEMP%\7zipsfx.001\hwinfo64launcher.exe
- %TEMP%\hwinfo_x64_w7_203.sys
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\7zipsfx.001\~hwinfo64.exe-hide~.bat
- %TEMP%\7zipsfx.001\hwinfo64.exe
- %TEMP%\7zipsfx.001\hwinfo64.ini
Другое
Создает и запускает на исполнение
- '%TEMP%\7zipsfx.000\hwinfo64.exe'
- '%TEMP%\7zipsfx.001\hwinfo64.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c attrib +h "%TEMP%\7ZipSfx.001" (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +h "%TEMP%\7ZipSfx.001"
- '<SYSTEM32>\cmd.exe' /c attrib -H -R -S "%TEMP%\7ZipSfx.001\~HWiNFO64.exe-hide~.bat"&echo attrib +h "%~dp0." > "%TEMP%\7ZipSfx.001\~HWiNFO64.exe-hide~.bat"&echo attrib +h "%~f0" >> "%TEMP%\7ZipSfx.001\~HWiNFO64.exe... (со скрытым окном)
- '<SYSTEM32>\attrib.exe' -H -R -S "%TEMP%\7ZipSfx.001\~HWiNFO64.exe-hide~.bat"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZipSfx.001\~HWiNFO64.exe-hide~.bat" " (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +h "%TEMP%\7ZipSfx.001\."
- '<SYSTEM32>\attrib.exe' +h "%TEMP%\7ZipSfx.001\~HWiNFO64.exe-hide~.bat"
- '<SYSTEM32>\cmd.exe' /c dir /s /b "%TEMP%\7ZipSfx.001\"
- '<SYSTEM32>\attrib.exe' +h "%TEMP%\7ZipSfx.001\HWiNFO64.exe"
- '<SYSTEM32>\attrib.exe' +h "%TEMP%\7ZipSfx.001\HWiNFO64.INI"
