Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdateService' = '<Полный путь к файлу>'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\systemupdater
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\syslog.txt
- conout$
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\syslog.txt
Сетевая активность
UDP
- DNS ASK settings-win.data.microsoft.com
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start fodhelper.exe > nul 2>&1
- '<SYSTEM32>\fodhelper.exe'
- '<SYSTEM32>\cmd.exe' /c schtasks /create /sc onlogon /tn "SystemUpdater" /tr "<Полный путь к файлу>" /rl highest /f
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /tn "SystemUpdater" /tr "<Полный путь к файлу>" /rl highest /f
- '%WINDIR%\immersivecontrolpanel\systemsettings.exe' -ServerName:microsoft.windows.immersivecontrolpanel
- '<SYSTEM32>\systemsettingsadminflows.exe' OptionalFeaturesAdminHelper (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c reg delete HKLM\SOFTWARE /f > nul 2>&1
- '<SYSTEM32>\reg.exe' delete HKLM\SOFTWARE /f
