Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'system.exe' = '"C:\ProgramsData\app.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\system.exe
- <SYSTEM32>\tasks\windowssystemhost
Изменения в файловой системе
Создает следующие файлы
- C:\programsdata\app.exe
Сетевая активность
Подключается к
- 'cd#.##scordapp.com':443
- 'ip##pi.com':80
- '19#.#6.237.44':1133
TCP
- 'cd#.##scordapp.com':443
- '19#.#6.237.44':1133
UDP
- DNS ASK cd#.##scordapp.com
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- 'C:\programsdata\app.exe'
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "WINDOWSSYSTEMHOST" /tr "C:\ProgramsData\app.exe" /sc MINUTE /MO 1' (со скрытым окном)
- 'C:\programsdata\app.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "system.exe" /sc ONLOGON /tr "C:\ProgramsData\app.exe" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "WINDOWSSYSTEMHOST" /tr "C:\ProgramsData\app.exe" /sc MINUTE /MO 1
- '<SYSTEM32>\taskeng.exe' {956635EB-1E75-41BF-8585-8A936B2853F7} S-1-5-21-1960123792-2022915161-3775307078-1001:ihxjdsuidn\user:Interactive:[1]
