Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\runcodetask
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Termaintor] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Termaintor] 'ImagePath' = '%ProgramFiles%\RunTime\RuntimeBroker.exe'
Создает следующие сервисы
- 'Termaintor' %ProgramFiles%\RunTime\RuntimeBroker.exe
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\runtime\runtimebroker.exe
- %ProgramFiles%\runtime\amsdk_service.sys
- %WINDIR%\zam.krnl.trace
Присваивает атрибут 'скрытый' для следующих файлов
- %ProgramFiles%\runtime\amsdk_service.sys
Удаляет следующие файлы
- %ProgramFiles%\runtime\amsdk_service.sys
Сетевая активность
Подключается к
- 'ip##pi.com':80
TCP
Запросы HTTP GET
- http://ip##pi.com/json
UDP
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- '%ProgramFiles%\runtime\runtimebroker.exe'
- '%ProgramFiles%\runtime\runtimebroker.exe' start
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "cmd /c timeout /T 5 & del /ah /Q "<Текущая директория>\WEteMNSCNY.sys"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "cmd /c timeout /T 5 & del /ah /Q "<Полный путь к файлу>"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c timeout /T 5
- '<SYSTEM32>\timeout.exe' /T 5
- '<SYSTEM32>\taskeng.exe' {46843822-0F3D-4E6F-B169-49F8C8564E53} S-1-5-21-3691498038-2086406363-2140527554-1000:ignqtqy\user:Interactive:[1]
- '%ProgramFiles%\runtime\runtimebroker.exe' start (со скрытым окном)
