Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WinDivert] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\WinDivert] 'ImagePath' = '<Текущая директория>\WinDivert64.sys'
Создает следующие сервисы
- 'WinDivert' <Текущая директория>\WinDivert64.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\be10.tmp\be11.tmp\be12.bat
- nul
- %TEMP%\db7f.tmp\db80.tmp\dbc0.bat
Удаляет следующие файлы
- %TEMP%\be10.tmp\be11.tmp\be12.bat
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\BE10.tmp\BE11.tmp\BE12.bat <Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process 'cmd.exe' -ArgumentList '/k \"\"<Полный путь к файлу>\" admin\"' -Verb RunAs -WindowStyle Hidden"
- '<SYSTEM32>\cmd.exe' /k ""<Полный путь к файлу>" admin" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\DB7F.tmp\DB80.tmp\DBC0.bat <Полный путь к файлу> admin" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query WinDivert
- '<SYSTEM32>\sc.exe' create WinDivert binPath= "<Текущая директория>\WinDivert64.sys" type= kernel start= auto
