Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- 'PSEXESVC' %WINDIR%\PSEXESVC.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\psexec64.exe
- %WINDIR%\psexesvc.exe
- unc\sutcmoszgvka\admin$\psexec-sutcmoszgvka-340471e4.key
- unc\sutcmoszgvka\pipe\psexesvc
- %ALLUSERSPROFILE%\winton\wdesklink\findcustid.exe
- %ALLUSERSPROFILE%\winton\wdesklink\custinfo.txt
- %WINDIR%\temp\{3fd47758-6dcd-4449-87ed-edf8b871f780}.temp-desk-host
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\temp\{3fd47758-6dcd-4449-87ed-edf8b871f780}.temp-desk-host
Сетевая активность
Подключается к
- '12#.#.13.194':8089
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Winton-Link'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\psexec64.exe' -accepteula -s -i "<Полный путь к файлу>"
- '%WINDIR%\psexesvc.exe'
- '%ALLUSERSPROFILE%\winton\wdesklink\findcustid.exe' /ALL
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\psexec64.exe' -accepteula -s -i "<Полный путь к файлу>" (со скрытым окном)
- '<Полный путь к файлу>' (со скрытым окном)
- '%ALLUSERSPROFILE%\winton\wdesklink\findcustid.exe' /ALL (со скрытым окном)
