Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Sysmon64] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Sysmon64] 'ImagePath' = '%WINDIR%\Sysmon64.exe'
- [HKLM\System\CurrentControlSet\Services\SysmonDrv] 'Start' = '00000000'
- [HKLM\System\CurrentControlSet\Services\SysmonDrv] 'ImagePath' = 'SysmonDrv.sys'
Создает следующие сервисы
- 'Sysmon64' %WINDIR%\Sysmon64.exe
- 'SysmonDrv' %WINDIR%\SysmonDrv.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\install.bat
- %TEMP%\rarsfx0\sysmon64.exe
- %TEMP%\rarsfx0\sysmonconfig-export.xml
- %TEMP%\sysmon_install.log
- %WINDIR%\sysmon64.exe
- %TEMP%\man8d31.tmp
- %WINDIR%\sysmondrv.sys
Удаляет следующие файлы
- %TEMP%\man8d31.tmp
- %WINDIR%\sysmon64.exe
- %WINDIR%\sysmondrv.sys
- %TEMP%\rarsfx0\install.bat
- %TEMP%\rarsfx0\sysmon64.exe
- %TEMP%\rarsfx0\sysmonconfig-export.xml
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
Другое
Ищет следующие окна
- ClassName: 'Edit' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\sysmon64.exe' -accepteula -i sysmonconfig-export.xml
- '%WINDIR%\sysmon64.exe' -nologo -accepteula -m
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\install.bat" >> %TEMP%\sysmon_install.log"
- '<SYSTEM32>\wevtutil.exe' im "%TEMP%\MAN8D31.tmp"
