Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowstaskcoreupdate
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="WindowsIndexerCoreUpdate" dir=in action=allow description="WindowsIndexerCoreUpdate" program="<SYSTEM32>\wscript.exe" enable=yes
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="WindowsIndexerCoreUpdate" dir=out action=allow description="WindowsIndexerCoreUpdate" program="<SYSTEM32>\wscript.exe" enable=yes
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\963a8b271fb94683b96b7f41eb923c58\1bdbf4d31c6a4b7cb5d9106538f787d6.vbs
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://to###ames.com/steam.lock
- http://dv###ideofr.com/pack.dll
UDP
- DNS ASK fa###ook.com
- DNS ASK gm###down.com
- DNS ASK to###ames.com
- DNS ASK dv###ideofr.com
- DNS ASK 2n#.co
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /ru system /tn WindowsTaskCoreUpdate /sc onstart /tr "%APPDATA%\963A8B271FB94683B96B7F41EB923C58\1BDBF4D31C6A4B7CB5D9106538F787D6.vbs" /f /rl highest' (со скрытым окном)
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="WindowsIndexerCoreUpdate" dir=in action=allow description="WindowsIndexerCoreUpdate" program="<SYSTEM32>\wscript.exe" enable=yes' (со скрытым окном)
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="WindowsIndexerCoreUpdate" dir=out action=allow description="WindowsIndexerCoreUpdate" program="<SYSTEM32>\wscript.exe" enable=yes' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /ru system /tn WindowsTaskCoreUpdate /sc onstart /tr "%APPDATA%\963A8B271FB94683B96B7F41EB923C58\1BDBF4D31C6A4B7CB5D9106538F787D6.vbs" /f /rl highest
