Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = '%APPDATA%\Microsoft\Windows\SystemApps\RuntimeBroker.exe'
- [HKCU\Environment] 'UserInitMprLogonScript' = '%APPDATA%\Microsoft\Windows\ServiceProfiles\svchost.exe'
Изменения в файловой системе
Создает следующие файлы
- nul
- %APPDATA%\microsoft\windows\systemapps\runtimebroker.exe
- %APPDATA%\microsoft\windows\serviceprofiles\svchost.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\systemapps\runtimebroker.exe
- %APPDATA%\microsoft\windows\serviceprofiles\svchost.exe
Сетевая активность
UDP
- DNS ASK we##p.ru
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\systemapps\runtimebroker.exe'
Запускает на исполнение
- '<SYSTEM32>\reg.exe' query HKLM\SOFTWARE\Microsoft\Cryptography /v MachineGuid
- '<SYSTEM32>\reg.exe' query "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load
- '<SYSTEM32>\attrib.exe' +h +s %APPDATA%\Microsoft\Windows\SystemApps\RuntimeBroker.exe
- '<SYSTEM32>\attrib.exe' +h +s %APPDATA%\Microsoft\Windows\ServiceProfiles\svchost.exe
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /t REG_SZ /d %APPDATA%\Microsoft\Windows\SystemApps\RuntimeBroker.exe /f
- '<SYSTEM32>\reg.exe' add HKCU\Environment /v UserInitMprLogonScript /t REG_SZ /d %APPDATA%\Microsoft\Windows\ServiceProfiles\svchost.exe /f
- '%APPDATA%\microsoft\windows\systemapps\runtimebroker.exe' (со скрытым окном)
