Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\wingtr
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %APPDATA%\windows activator\kmsautolite.ini
- %APPDATA%\windows activator\key.txt
- %APPDATA%\windows activator\kmsauto.exe
- %WINDIR%\wingtr.exe
- %WINDIR%\dfygx.cou
- %WINDIR%\useridfile
- %WINDIR%\wingtrst.bat
- %WINDIR%\ncoet
- %WINDIR%\temp\kmsauto\bin.dat
- %WINDIR%\temp\kmsauto\bin\kmsss.exe
- %WINDIR%\temp\kmsauto\bin\kmsactivator.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\useridfile
- %WINDIR%\wingtrst.bat
Удаляет файлы, которые сам же создал
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %WINDIR%\dfygx.cou
- %WINDIR%\ncoet
- %WINDIR%\temp\kmsauto\bin.dat
Сетевая активность
Подключается к
- 'ip##pi.com':80
- 'wh##.amung.us':80
TCP
Запросы HTTP GET
- http://ip##pi.com/csv
- http://wh##.amung.us/pingjs/?k=########
UDP
- DNS ASK ip##pi.com
- DNS ASK wh##.amung.us
- DNS ASK pi###soop.xyz
Другое
Создает и запускает на исполнение
- '%APPDATA%\windows activator\kmsauto.exe'
- '%WINDIR%\wingtr.exe'
- '%WINDIR%\temp\kmsauto\bin.dat' -y -pkmsauto
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c copy <SYSTEM32>\Tasks\KMSAuto "%TEMP%\KMSAuto.tmp" /Y (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\wingtrst.bat" " (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c bin.dat -y -pkmsauto (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /sc onlogon /f /tn wingtr /rl highest /tr "%WINDIR%\wingtr.exe"
