Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\pla\system\taskguard
- <SYSTEM32>\tasks\microsoft\windows\pla\system\systemupdatenewbackupa
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\microsoft\wininet\cachedns.exe
- %TEMP%\586c.tmp
Сетевая активность
Подключается к
- 'pa############7910.cos.ap-guangzhou.myqcloud.com':80
UDP
- DNS ASK pa############7910.cos.ap-guangzhou.myqcloud.com
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c icacls %WINDIR%\apppatch\svchost.sdb /grant everyone:(F,GA) SYSTEM:(F,GA) administrators:(F,GA) users:(F,GA) /q /c' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c attrib %WINDIR%\AppPatch\svchost.sdb -r -s -h' (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s %WINDIR%\apppatch\svchost.sdb' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c icacls %WINDIR%\apppatch\svchost.sdb /grant everyone:(F,GA) SYSTEM:(F,GA) administrators:(F,GA) users:(F,GA) /q /c
- '%WINDIR%\syswow64\cmd.exe' /c attrib %WINDIR%\AppPatch\svchost.sdb -r -s -h
- '%WINDIR%\syswow64\attrib.exe' %WINDIR%\AppPatch\svchost.sdb -r -s -h
- '%WINDIR%\syswow64\icacls.exe' %WINDIR%\apppatch\svchost.sdb /grant everyone:(F,GA) SYSTEM:(F,GA) administrators:(F,GA) users:(F,GA) /q /c
- '<SYSTEM32>\taskeng.exe' {753AD770-7958-423D-884E-03F252EE4DB2} S-1-5-21-1960123792-2022915161-3775307078-1001:ltgtwnjukpo\user:Interactive:[1]
- '%WINDIR%\syswow64\regedit.exe' /s %WINDIR%\apppatch\svchost.sdb
