Техническая информация
Для обеспечения автозапуска и распространения
Заражает следующие исполняемые файлы
- %ProgramFiles(x86)%\microsoft office\office16\excel.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\rundll32.exe' C:\Users\Public\Documents\EGAooY.txt,DllRegisterServer
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Подменяет следующие файлы
- %ProgramFiles%\UNP\Logs\UpdateNotificationPipeline.001.etl
Сетевая активность
TCP
- 'ad####lyasia.com':443
UDP
- DNS ASK ad####lyasia.com
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\taskhostw.exe' None
- '<SYSTEM32>\usoclient.exe' StartScan
- '<SYSTEM32>\apphostregistrationverifier.exe'
- '%ProgramFiles(x86)%\microsoft office\office16\excel.exe' /dde
- '<SYSTEM32>\devicecensus.exe' UserCxt
- '<SYSTEM32>\svchost.exe' -k netsvcs -p
