Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\SysTelemetryAgent] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\SysTelemetryAgent] 'ImagePath' = '<SYSTEM32>\svchost.exe -k TelemetryGroup'
- [HKLM\SYSTEM\CurrentControlSet\Services\SysTelemetryAgent\Parameters] 'ServiceDll' = '<SYSTEM32>\ar-SA\telemetryui.mfl'
Создает следующие сервисы
- 'SysTelemetryAgent' <SYSTEM32>\svchost.exe -k TelemetryGroup
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\windowspowershell\v1.0\cer996d.tmp
- <SYSTEM32>\windowspowershell\v1.0\cer996e.tmp
- <SYSTEM32>\ar-sa\telemetryui.mfl
- conout$
Удаляет файлы, которые сам же создал
- <SYSTEM32>\windowspowershell\v1.0\cer996d.tmp
- <SYSTEM32>\windowspowershell\v1.0\cer996e.tmp
Сетевая активность
TCP
Другие
- '15#.#01.1.91':443
UDP
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Добавляет корневой сертификат
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c certutil -addstore ROOT .\cer996D.tmp
- '<SYSTEM32>\certutil.exe' -addstore ROOT .\cer996D.tmp
- '<SYSTEM32>\cmd.exe' /c certutil -addstore CA .\cer996E.tmp
- '<SYSTEM32>\certutil.exe' -addstore CA .\cer996E.tmp
