Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\runcodetask
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Termaintor] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Termaintor] 'ImagePath' = '%ProgramFiles%\RunTime\RuntimeBroker.exe'
Создает следующие сервисы
- 'Termaintor' %ProgramFiles%\RunTime\RuntimeBroker.exe
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\runtime\runtimebroker.exe
- %ProgramFiles%\runtime\amsdk_service.sys
- %WINDIR%\zam.krnl.trace
- %ALLUSERSPROFILE%\displaysessioncontainers.log
Присваивает атрибут 'скрытый' для следующих файлов
- %ProgramFiles%\runtime\amsdk_service.sys
Сетевая активность
Подключается к
- 'ip##pi.com':80
- '15#.#34.58.194':52110
TCP
Запросы HTTP GET
- http://ip##pi.com/json
Другие
- '15#.#34.58.194':52110
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- '%ProgramFiles%\runtime\runtimebroker.exe'
- '%ProgramFiles%\runtime\runtimebroker.exe' start
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "cmd /c timeout /T 2 & del /ah /Q "<Текущая директория>\dmFowBVzjR.sys"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c timeout /T 2
- '<SYSTEM32>\timeout.exe' /T 2
- '<SYSTEM32>\taskeng.exe' {4A95896B-98CF-4041-A72D-E262B48867CE} S-1-5-21-3691498038-2086406363-2140527554-1000:hiuobwgj\user:Interactive:[1]
- '%ProgramFiles%\runtime\runtimebroker.exe' start (со скрытым окном)
