Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoftupdate
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%LOCALAPPDATA%\microsoftupdate\update.exe'
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 664
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\application data\microsoft\forms\excel.box
- %LOCALAPPDATA%\microsoftupdate\update.exe
- %LOCALAPPDATA%\microsoftupdate\update.exe.config
- %LOCALAPPDATA%\microsoftupdate\microsoft.exchange.webservices.dll
- %TEMP%\1431901.cvr
- %LOCALAPPDATA%\microsoftupdate\cnf
Сетевая активность
UDP
- DNS ASK qw#######55.joexpediagroup.com
- DNS ASK 4p#######p.asiaworldremit.com
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\microsoftupdate\update.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {BE057F43-29E6-49B5-8465-C5006ADF1CB0} S-1-5-21-1960123792-2022915161-3775307078-1001:xuaviijwo\user:Interactive:[1]
