Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\empsvc] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\empsvc] 'ImagePath' = '"%ProgramFiles(x86)%\empoint\empsvc.exe"'
Создает следующие сервисы
- 'empsvc' "%ProgramFiles(x86)%\empoint\empsvc.exe"
- 'empsvc' %ProgramFiles(x86)%\empoint\empsvc.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsishlp\wfdll.dll
- %TEMP%\nsicb79.tmp\system.dll
- %LOCALAPPDATA%low\empoint\reword.dat
- %LOCALAPPDATA%low\empoint\ignore.dat
- %LOCALAPPDATA%low\empoint\except.dat
- %LOCALAPPDATA%low\empoint\config.dat
- %LOCALAPPDATA%low\empoint\configver.dat
- %ProgramFiles(x86)%\empoint\installer.exe
- %ProgramFiles(x86)%\empoint\version.dat
- %ProgramFiles(x86)%\empoint\empmod.mod
- %ProgramFiles(x86)%\empoint\empsvc.svc
- %LOCALAPPDATA%low\empoint\user.dat
- %ProgramFiles(x86)%\empoint\empsvc.exe
- %ProgramFiles(x86)%\empoint\uninst.exe
- %ProgramFiles(x86)%\empoint\empmod.dll
- %WINDIR%\syswow64\config\systemprofile\appdata\roaming\microsoft\windows\ietldcache\index.dat
Удаляет следующие файлы
- %ProgramFiles(x86)%\empoint\empsvc.svc
- %TEMP%\nsicb79.tmp\system.dll
- %ProgramFiles(x86)%\empoint\empmod.mod
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK kk##unt.com
- DNS ASK pa####edia.co.kr
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\empoint\installer.exe' unregagent
- '%ProgramFiles(x86)%\empoint\installer.exe' install
- '%ProgramFiles(x86)%\empoint\installer.exe' svcinstall
- '%ProgramFiles(x86)%\empoint\empsvc.exe'
