Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM RuntimeBroker_dorsandesk.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\dorsandesk\log\<Имя файла>_rcurrent.log
- %TEMP%\shared_memory-rs\shmem_dfa7f3f12671ca3e
- %ALLUSERSPROFILE%\dorsandesk\shared_memory_portable_service
- %APPDATA%\dorsandesk\log\portable-service\<Имя файла>_rcurrent.log
- %WINDIR%\serviceprofiles\localservice\appdata\roaming\dorsandesk\log\<Имя файла>_rcurrent.log
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\icacls.exe' %ALLUSERSPROFILE%\DorsanDesk /grant *S-1-1-0:(OI)(CI)F /T
- '<SYSTEM32>\icacls.exe' %ALLUSERSPROFILE%\DorsanDesk\shared_memory_portable_service /grant *S-1-1-0:(OI)(CI)F /T
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /IM RuntimeBroker_dorsandesk.exe"
- '<Полный путь к файлу>' --portable-service (со скрытым окном)
