Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\wmsys.exe
- <SYSTEM32>\tasks\googleupdatetaskmachineqc
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\defender.cmd
- %TEMP%\afk.exe
- nul
- %TEMP%\#_27444_#\r
- %TEMP%\#_27444_#\$dpx$.tmp\2c03022f0b1b7e4e91b2e3081495894b.tmp
- %TEMP%\#_27444_#\z.cmd
Перемещает следующие файлы
- %TEMP%\#_27444_#\$dpx$.tmp\2c03022f0b1b7e4e91b2e3081495894b.tmp в %TEMP%\#_27444_#\runasti.exe
Другое
Ищет следующие окна
- ClassName: 'AutoHotkey' WindowName: '%TEMP%\afk.exe'
- ClassName: '#32771' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\wmsys.exe'
- '%TEMP%\afk.exe'
- '%TEMP%\#_27444_#\runasti.exe' z.cmd
- '%TEMP%\#_27444_#\runasti.exe' /t z.cmd
- '%TEMP%\windows\services.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\Defender.cmd" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\Defender.cmd" "
- '%WINDIR%\syswow64\dism.exe'
- '%WINDIR%\syswow64\reg.exe' query hklm\system\currentcontrolset\services\WinDefend
- '%WINDIR%\syswow64\certutil.exe' /decode "%TEMP%\Defender.cmd" r
- '%WINDIR%\syswow64\expand.exe' /r r
