Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe,"<Полный путь к файлу>" /bat'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] '0018C241' = '"<Полный путь к файлу>" /bat'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\hwall.bmp
- %TEMP%\hwall.ps1
- %TEMP%\hwall.jpg
Удаляет файлы, которые сам же создал
- %TEMP%\hwall.ps1
Изменяет следующие файлы
- %APPDATA%\microsoft\windows\themes\transcodedwallpaper
- %APPDATA%\microsoft\windows\themes\cachedfiles\cachedimage_1920_1080_pos2.jpg
Сетевая активность
Подключается к
- 'up####.wikimedia.org':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'up####.wikimedia.org':443
UDP
- DNS ASK up####.wikimedia.org
- DNS ASK x1.#.lencr.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -NonInteractive -ExecutionPolicy Bypass -File "%TEMP%\hwall.ps1"
Запускает на исполнение
- '<SYSTEM32>\shutdown.exe' /r /t 10 /f (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -NonInteractive -ExecutionPolicy Bypass -File "%TEMP%\hwall.ps1" (со скрытым окном)
