Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'CryptSvc' = '"%APPDATA%\Microsoft\Crypto\svchost.exe"'
- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 'CryptSvc' = '"%APPDATA%\Microsoft\Crypto\svchost.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\cryptsvc
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\crypto\svchost.exe
- C:\agent.log
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\crypto\svchost.exe
Сетевая активность
Подключается к
- '43.##4.216.180':8443
Другое
Запускает на исполнение
- '<SYSTEM32>\attrib.exe' +h +s %APPDATA%\Microsoft\Crypto\svchost.exe
- '<SYSTEM32>\attrib.exe' +h +s %APPDATA%\Microsoft\Crypto
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v CryptSvc /t REG_SZ /d \"%APPDATA%\Microsoft\Crypto\svchost.exe\" /f
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v CryptSvc /t REG_SZ /d \"%APPDATA%\Microsoft\Crypto\svchost.exe\" /f
- '<SYSTEM32>\schtasks.exe' /Create /TN CryptSvc /TR \"%APPDATA%\Microsoft\Crypto\svchost.exe\" /SC ONLOGON /RL HIGHEST /F /DELAY 0000:30
