Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'RuntimeBroker' = '"%APPDATA%\Microsoft\System\RuntimeBroker.exe"'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'RuntimeBroker' = '"%APPDATA%\Microsoft\System\RuntimeBroker.exe"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\runtimebroker.exe
Изменения в файловой системе
Создает следующие файлы
- nul
- %APPDATA%\microsoft\system\runtimebroker.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\system\runtimebroker.exe
Сетевая активность
UDP
- DNS ASK we##p.ru
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\system\runtimebroker.exe'
Запускает на исполнение
- '<SYSTEM32>\reg.exe' query HKLM\SOFTWARE\Microsoft\Cryptography /v MachineGuid
- '<SYSTEM32>\reg.exe' query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v RuntimeBroker
- '<SYSTEM32>\attrib.exe' +h +s %APPDATA%\Microsoft\System
- '<SYSTEM32>\attrib.exe' +h +s %APPDATA%\Microsoft\System\RuntimeBroker.exe
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v RuntimeBroker /t REG_SZ /d \"%APPDATA%\Microsoft\System\RuntimeBroker.exe\" /f
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v RuntimeBroker /t REG_SZ /d \"%APPDATA%\Microsoft\System\RuntimeBroker.exe\" /f
