Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\SysYEQqSvc] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\SysYEQqSvc] 'ImagePath' = '"%ALLUSERSPROFILE%\Microsoft\PHGFju\winlogon.exe"'
Создает следующие сервисы
- 'SysYEQqSvc' %ALLUSERSPROFILE%\Microsoft\PHGFju\winlogon.exe
Изменения в файловой системе
Создает следующие файлы
- <Полный путь к файлу>.tmp
- %ALLUSERSPROFILE%\microsoft\phgfju\winlogon.exe
- %ALLUSERSPROFILE%\microsoft\phgfju\winlogon.exe.tmp
- nul
Перемещает следующие файлы
- %ALLUSERSPROFILE%\microsoft\phgfju\winlogon.exe.tmp в %ALLUSERSPROFILE%\microsoft\phgfju\winlogon.exe
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\microsoft\phgfju\winlogon.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ping -n 2 127.0.0.1>nul & move /y "<Полный путь к файлу>.tmp" "<Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\ping.exe' -n 2 127.0.0.1
- '<SYSTEM32>\cmd.exe' /c ping -n 2 127.0.0.1>nul & move /y "%ALLUSERSPROFILE%\Microsoft\PHGFju\winlogon.exe.tmp" "%ALLUSERSPROFILE%\Microsoft\PHGFju\winlogon.exe" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c start /b "" "%ALLUSERSPROFILE%\Microsoft\PHGFju\winlogon.exe" (со скрытым окном)
