Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'Microsoft Update.exe' = '"%LOCALAPPDATA%\Microsoft Update.exe"'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce] 'Microsoft Update.exe' = '"%LOCALAPPDATA%\Microsoft Update.exe"'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\5972956092.txt
- %TEMP%\59729560.txt
- %LOCALAPPDATA%\microsoft update.exe
Сетевая активность
Подключается к
- 'ns#.##ltaluse.ml':8085
TCP
Запросы HTTP GET
- http://xm####rvices.com/C/BDEF_BFDBEBFFDEFAFBEDEECGAGFBBADCDCBCBFDGGBFEDEE_GDAFDA.txt
UDP
- DNS ASK pa###bin.com
- DNS ASK xm####rvices.com
- DNS ASK ns#.##ltaluse.ml
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 240 /tn Microsoft Update.exe /tr "powershell start %LOCALAPPDATA%\Microsoft Update.exe"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 240 /tn Microsoft Update.exe /tr "powershell start %LOCALAPPDATA%\Microsoft Update.exe"
- '%WINDIR%\syswow64\svchost.exe'
