Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\MyService] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\MyService] 'ImagePath' = 'C:\path\to\myservice.exe'
- [HKLM\SYSTEM\CurrentControlSet\Services\MyElevatedService] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\MyElevatedService] 'ImagePath' = 'C:\path\to\malicious.exe'
Создает следующие сервисы
- 'MyService' C:\path\to\myservice.exe
- 'MyElevatedService' C:\path\to\malicious.exe
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\windowspowershell\v1.0\output.txt
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell.exe -Command "Write-Output 'Malicious Script Executed'" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c echo Hello, World! > output.txt (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Write-Output 'Malicious Script Executed'"
- '<SYSTEM32>\cmd.exe'
