Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'NVIDIA' = '"<SYSTEM32>\wchtp.exe"'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei46282\vcruntime140.dll
- %TEMP%\_mei46282\_bz2.pyd
- %TEMP%\_mei46282\_ctypes.pyd
- %TEMP%\_mei46282\_decimal.pyd
- %TEMP%\_mei46282\_hashlib.pyd
- %TEMP%\_mei46282\_lzma.pyd
- %TEMP%\_mei46282\_socket.pyd
- %TEMP%\_mei46282\base_library.zip
- %TEMP%\_mei46282\file\wchtp.exe
- %TEMP%\_mei46282\libcrypto-3.dll
- %TEMP%\_mei46282\libffi-8.dll
- %TEMP%\_mei46282\python312.dll
- %TEMP%\_mei46282\select.pyd
- %TEMP%\_mei46282\unicodedata.pyd
- <SYSTEM32>\wchtp.exe
- \device\harddiskvolume1\boot\bcd.log
- \device\harddiskvolume1\boot\bcd
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "shutdown /r /t 3 /f" (со скрытым окном)
- '<SYSTEM32>\shutdown.exe' /r /t 3 /f
Пытается завершить работу операционной системы Windows.
