Инструмент предназначен для отображения напоминаний от Winlogon (WinLogon ReMinDeRs). Такие
напоминания могут включать такие сценарии, как истечение срока действия пароля, необходимость дополнительных учетных данных
и т.д. Два особых случая связаны с облачными паролями, обсуждаемыми ниже: один для
истечения срока действия, и один для изменения.

Параметры

Параметры программы wlrmdr.exe включают:

 -c параметр, фактически ничего не делающий, за исключением -a=11
 -s как-то связан с таймаутами, но не очень понятен. Он может быть отрицательным, за исключением -1,
 имеющего особое значение.
 -f флаги, определяющие иконки, звук и т.д., как определено в dwInfoFlags в файле
 документации структуры NOTIFYICONDATAW.
 -t заголовок напоминания. Может содержать пробелы, не обязательно должно быть включено в "".
 -m сообщение во всплывающем окне. Может содержать пробелы, не обязательно должно быть включено в "".
 -a действие, являющееся типом напоминания со специальным значением для 8, 10 и 11, описанных ниже.
 ниже.
 -u теоретически содержит URL для передачи в ShellExecute(), но из-за
 природы ShellExecute() может также содержать путь к документу, исполняемому файлу и т.д.

Порядок параметров важен! Параметры -s, -f, -t и -m должны присутствовать в правильном порядке.
правильном порядке, иначе команда будет молча отклонена.

Другие параметры полностью игнорируются и не влияют на работу wlrmdr.exe.

Wlrmdr.exe пытается определить свой родительский процесс, и если это winlogon.exe, то он изменяет свою работу.
но мне пока не удалось проследить этот путь глубже. Это также связано
с "-1", указанным в качестве значения для параметра -s.

Особые случаи

Особые значения для параметра -a включают:

 8 - запрашивает повышенные учетные данные, но я не смог определить точный сценарий.
 10 - предназначено для смены облачного пароля. Позволяет указать параметр -u и
 требует щелчка на уведомлении перед выполнением URL (или документа).
 11 - предназначен для истечения срока действия облачного пароля. Позволяет указать параметр -u и
 заставляет URL (или документ) выполняться без участия пользователя.

Вредоносные сценарии

Практические сценарии использования могут включать следующие шаги:

 1. Вызов URL для получения двоичных файлов. Поведение будет зависет от интернет-браузера, но по
 по умолчанию он загрузит файл в %userprofile%\Downloads, присвоив ему произвольное
 имя и расширение .crdownload.
 2. Вызов серии команд cmd.exe /c для идентификации и переименования загруженного бинарного файла в нужное имя и расширение.
 для идентификации и переименования загруженного двоичного файла в нужное имя и расширение.
 3. Выполнение загруженного файла.
 Природа ShellExecute() заставит браузер по умолчанию загрузить файл.
 Процесс Wlrmdr.exe сам по себе ничего не скачивает.
 Уведомлениями от wlrmdr.exe можно управлять через встроенное приложение настроек:
 Общие настройки: then 1st picture

Параметры напоминаний о входе в Windows: then second picture