Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\hyeHDWEUsU] 'ImagePath' = 'System32\drivers\tsocketo.sys'
Создает следующие сервисы
- 'hyeHDWEUsU' System32\drivers\tsocketo.sys
Изменения в файловой системе
Создает следующие файлы
- <DRIVERS>\tsocketo.sys
- %WINDIR%\addins\2.bat
- %WINDIR%\softwaredistribution\sls\9482f4b4-e343-43b6-b170-9a65bc822c77\sls.cab
- %WINDIR%\softwaredistribution\sls\9482f4b4-e343-43b6-b170-9a65bc822c77\tmp56cb.tmp
- %WINDIR%\softwaredistribution\sls\855e8a7c-ecb4-4ca3-b045-1dfa50104289\sls.cab
- %WINDIR%\softwaredistribution\sls\855e8a7c-ecb4-4ca3-b045-1dfa50104289\tmp5b9e.tmp
- %WINDIR%\softwaredistribution\sls\8b24b027-1dee-babb-9a95-3517dfb9c552\sls.cab
- %WINDIR%\softwaredistribution\sls\8b24b027-1dee-babb-9a95-3517dfb9c552\tmpb74c.tmp
Сетевая активность
UDP
- DNS ASK settings-win.data.microsoft.com
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\addins\2.bat" " (со скрытым окном)
- '<SYSTEM32>\sc.exe' create hyeHDWEUsU type= kernel binPath= System32\drivers\tsocketo.sys
- '<SYSTEM32>\sc.exe' start hyeHDWEUsU
