Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce] ' ' = 'd:\RECYCLER\S-1-2-15-2327623423-4315478353-652323387-1003\bin\1033\dev\fltd.exe'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\DirectAudioDrv] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\DirectAudioDrv] 'ImagePath' = 'd:\RECYCLER\S-1-2-15-2327623423-4315478353-652323387-1003\bin\1033\dev\fltd.exe'
Создает следующие сервисы
- 'DirectAudioDrv' d:\RECYCLER\S-1-2-15-2327623423-4315478353-652323387-1003\bin\1033\dev\fltd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut8fa1.tmp
- %TEMP%\core78.7z
- %TEMP%\aut9203.tmp
- %TEMP%\7za.exe
- %TEMP%\fah.exe
- %TEMP%\fahcore_78.exe
- %TEMP%\fahcore_b4.exe
- D:\recycler\s-1-2-15-2327623423-4315478353-652323387-1003\bin\1033\dev\fltd.exe
Удаляет следующие файлы
- %TEMP%\aut8fa1.tmp
- %TEMP%\aut9203.tmp
Другое
Создает и запускает на исполнение
- '%TEMP%\7za.exe' x %TEMP%\core78.7z -o%TEMP%\
Запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' delete DirectAudioDrv (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c md \\.\\d:\RECYCLER\S-1-2-15-2327623423-4315478353-652323387-1003\bin\1033\dev\ (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' create DirectAudioDrv binpath= d:\RECYCLER\S-1-2-15-2327623423-4315478353-652323387-1003\bin\1033\dev\fltd.exe type= own type= interact displayname= Storage start= auto (со скрытым окном)
- '%TEMP%\7za.exe' x %TEMP%\core78.7z -o%TEMP%\ (со скрытым окном)
