Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\TermService] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\services\TermService\Parameters] 'ServiceDll' = '<SYSTEM32>\RemoteDesktopServices.dll'
Создает следующие сервисы
- 'umbus' system32\DRIVERS\umbus.sys
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\remotedesktopservices.dll
- <SYSTEM32>\microsoft\protect\s-1-5-20\dc8fd6ab-28b5-41d6-99be-948dc7092e5f
- <SYSTEM32>\microsoft\protect\s-1-5-20\preferred
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\f686aace6942fb7f7ceb231212eef4a4_0cb67e2f-dc95-45ca-8fb8-69bde8e3f814
Другое
Запускает на исполнение
- '<SYSTEM32>\takeown.exe' /f <SYSTEM32>\RemoteDesktopServices.dll /a (со скрытым окном)
- '<SYSTEM32>\icacls.exe' <SYSTEM32>\RemoteDesktopServices.dll /grant *S-1-5-32-544:rxm (со скрытым окном)
- '<SYSTEM32>\icacls.exe' <SYSTEM32>\RemoteDesktopServices.dll /grant:r *S-1-5-32-544:rx (со скрытым окном)
- '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\TermService\Parameters" /v ServiceDll /t REG_EXPAND_SZ /d <SYSTEM32>\RemoteDesktopServices.dll /f (со скрытым окном)
- '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f (со скрытым окном)
- '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f (со скрытым окном)
