Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\pla\system\smbdiag
- <SYSTEM32>\tasks\microsoft\windows\user profile service\slmgr32
- <SYSTEM32>\tasks\microsoft\windows\diagnosis\drivers\usbstor
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\grouppolicy\machine\scripts\startup\smbdiag.vbe
- <SYSTEM32>\slmgr32.vbe
- <DRIVERS>\usbstor.vbe
- unc\fecysarzfeep*\mailslot\net\netlogon
Присваивает атрибут 'скрытый' для следующих файлов
- <SYSTEM32>\grouppolicy\machine\scripts\startup\smbdiag.vbe
- <SYSTEM32>\slmgr32.vbe
- <DRIVERS>\usbstor.vbe
Сетевая активность
Подключается к
- 'v4.#dent.me':80
- 'ap#.2ip.me':443
TCP
Запросы HTTP GET
- http://v4.#dent.me/
Другие
- 'ap#.2ip.me':443
UDP
- DNS ASK v4.#dent.me
- DNS ASK v6.#dent.me
- DNS ASK ap#.2ip.me
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<SYSTEM32>\grouppolicy\machine\scripts\startup\smbdiag.vbe"
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<SYSTEM32>\grouppolicy\machine\scripts\startup\smbdiag.vbe" (со скрытым окном)
