Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\Microsoft_Security_Task.job
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\taskhost_c\1.0.0.0\taskhost_c.exe
- <Текущая директория>\Microsoft.Win32.TaskScheduler.dll
Сетевая активность:
Подключается к:
- 'cr#.##modoca.com':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- http://cr#.##modoca.com/COMODORSAAddTrustCA.crt
- http://11#.#11.111.1/wpad.dat via wp#d
UDP:
- DNS ASK cr#.##modoca.com
- DNS ASK wp#d
Другое:
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 15000
- '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 25000
- '<SYSTEM32>\cmd.exe' /C ping 1.1.1.1 -n 1 -w 15000 > Nul & Del "<Полный путь к файлу>"
- '<SYSTEM32>\cmd.exe' /C ping 1.1.1.1 -n 1 -w 25000 > Nul & Del "<Текущая директория>\Microsoft.Win32.TaskScheduler.dll"
