Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WinSysApp' = '<SYSTEM32>\winlogon_sys.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WinSysApp' = '<SYSTEM32>\winlogon_sys.exe'
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe,<SYSTEM32>\winlogon_sys.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\sysmon
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
блокирует:
- Компонент восстановления системы (SR)
- Средство контроля пользовательских учетных записей (UAC)
удаляет теневые копии разделов.
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\winlogon_sys.exe
- %LOCALAPPDATA%\microsoft\windows\actioncentercache\windows-systemtoast-securityandmaintenance_10_0.png
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\winlogon_sys.exe' --watchdog 3524 "<Полный путь к файлу>"
Запускает на исполнение
- '<SYSTEM32>\wbadmin.exe' DELETE SYSTEMSTATEBACKUP -keepVersions:0 /quiet
- '<SYSTEM32>\bcdedit.exe' /set {default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\schtasks.exe' /create /tn "Microsoft\Windows\SysMon" /tr "<SYSTEM32>\winlogon_sys.exe" /sc onlogon /rl highest /f
