Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует главную загрузочную запись (MBR).
Изменения в файловой системе
Удаляет следующие системные файлы
- <SYSTEM32>\dll64.dll
- <DRIVERS>\lsi_sas.sys
- <DRIVERS>\rtnic64.sys
- <SYSTEM32>\catroot2\{f750e6c3-38ee-11d1-85e5-00c04fc295ee}\catdb
- <SYSTEM32>\catroot2\{f750e6c3-38ee-11d1-85e5-00c04fc295ee}\catdb.jfm
- <SYSTEM32>\LogFiles\WMI\Diagtrack-Listener.etl.006
- <SYSTEM32>\LogFiles\WMI\LwtNetLog.etl
- <SYSTEM32>\LogFiles\WMI\Microsoft-Windows-Rdp-Graphics-RdpIdd-Trace.etl
- <SYSTEM32>\logfiles\wmi\netcore.etl
- <SYSTEM32>\logfiles\wmi\ntfslog.etl
- <SYSTEM32>\logfiles\wmi\radiomgr.etl
- <SYSTEM32>\logfiles\wmi\wifi.etl
- <SYSTEM32>\msvcp140.dll
- <SYSTEM32>\SleepStudy\UserNotPresentSession.etl
- <SYSTEM32>\spool\prtprocs\x64\winprint.dll
- <SYSTEM32>\vcruntime140.dll
- <SYSTEM32>\vcruntime140_1.dll
Удаляет файлы, которые сам же создал
- <SYSTEM32>\catroot2\edb.log
- <SYSTEM32>\catroot2\edb.chk
Перемещает следующие файлы
- <SYSTEM32>\catroot2\edbtmp.log в <SYSTEM32>\catroot2\edb.log
Подменяет следующие файлы
- <SYSTEM32>\catroot2\edb.log
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c takeown /f C:\Boot /r /d y
- '<SYSTEM32>\takeown.exe' /f C:\Boot /r /d y
- '<SYSTEM32>\cmd.exe' /c icacls <SYSTEM32> /grant administrators:F /t
- '<SYSTEM32>\icacls.exe' <SYSTEM32> /grant administrators:F /t
- '<SYSTEM32>\cmd.exe' /c rmdir /s /q %WINDIR%
