Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%HOMEPATH%\conhost.exe'
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /k %HOMEPATH%\conhost.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\conhost.exe
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\conhost.exe
Сетевая активность
TCP
- 'cl#####ecurity.ggpht.ml':443
UDP
- DNS ASK cl#####ecurity.ggpht.ml
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /k %HOMEPATH%\conhost.exe' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c REG ADD HKCU\Console\%SystemRoot^%_system32_cmd.exe /v CodePage /t REG_DWORD /d 65001 /f
- '%WINDIR%\syswow64\reg.exe' ADD HKCU\Console\%SystemRoot%_system32_cmd.exe /v CodePage /t REG_DWORD /d 65001 /f
- '%WINDIR%\syswow64\cmd.exe' /c systeminfo
- '%WINDIR%\syswow64\systeminfo.exe'
- '%WINDIR%\syswow64\cmd.exe' /c REG ADD \"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\" /t REG_SZ /F /D \"%userprofile%\conhost.exe\"
- '%WINDIR%\syswow64\reg.exe' ADD \"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\" /t REG_SZ /F /D \"%HOMEPATH%\conhost.exe\"
- '%WINDIR%\syswow64\cmd.exe' /c attrib +h +s %userprofile%\conhost.exe
- '%WINDIR%\syswow64\attrib.exe' +h +s %HOMEPATH%\conhost.exe
