Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'AtlasFilesMap1' = '%ALLUSERSPROFILE%\AtlasFilesMap1\rekeywiz.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updateservice
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "UpdateService" /sc once /tr "%ALLUSERSPROFILE%\AtlasFilesMap1\rekeywiz.exe" /st 04:23
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1.a
- %ALLUSERSPROFILE%\atlasfilesmap1\rekeywiz.exe
- %ALLUSERSPROFILE%\atlasfilesmap1\duser.dll
- %ALLUSERSPROFILE%\atlasfilesmap1\zu9rysc.tmp
- %ALLUSERSPROFILE%\atlasfilesmap1\rekeywiz.exe.config
- %LOCALAPPDATA%\microsoft\clr_v2.0_32\usagelogs\eqnedt32.exe.log
- <Текущая директория>\~wrd0000.tmp
- <Текущая директория>\~wrl0001.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\~wrl0001.tmp
Подменяет следующие файлы
- %ProgramFiles%\UNP\Logs\UpdateNotificationPipeline.001.etl
Другое
Запускает на исполнение
- '%CommonProgramFiles(x86)%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '<SYSTEM32>\devicecensus.exe' UserCxt
- '<SYSTEM32>\svchost.exe' -k PrintWorkflow
- '<SYSTEM32>\svchost.exe' -k netsvcs -p
Использует альтернативные потоки данных NTFS
