Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdater' = '%APPDATA%\Microsoft\svhost.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowsupdater
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- svhost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\svhost.exe
Сетевая активность
TCP
- 'ap#.#pify.org':443
- 'ap#.##legram.org':443
UDP
- DNS ASK ap#.#pify.org
- DNS ASK ap#.##legram.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\svhost.exe'
- '%WINDIR%\syswow64\schtasks.exe' /create /sc MINUTE /mo 1 /tn "WindowsUpdater" /tr "%APPDATA%\Microsoft\svhost.exe" /f' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /sc MINUTE /mo 1 /tn "WindowsUpdater" /tr "%APPDATA%\Microsoft\svhost.exe" /f
