Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] 'ServiceDll' = '<SYSTEM32>\wuauengine.dll'
- [HKLM\System\CurrentControlSet\Services\wuauserv] 'Start' = '00000002'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\winntapi.dll
- %WINDIR%\syswow64\wuauengine.dll
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ru###a-mid.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v DelayedAutoStart /t REG_DWORD /d 0 /f (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters" /v ServiceDll /t REG_EXPAND_SZ /d <SYSTEM32>\wuauengine.dll /f (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' config wuauserv start= auto (со скрытым окном)
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\wuauengine.dll StartUpA (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del "<Полный путь к файлу> (со скрытым окном)
