Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowsupdate
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\windowsupdateversion-4.5.36\update.exe
Сетевая активность
Подключается к
- '18#.#43.223.34':80
TCP
Запросы HTTP GET
- http://18#.#43.223.34/uploadMe.exe
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\windowsupdateversion-4.5.36\update.exe'
- '%WINDIR%\explorer.exe' 1348' (со скрытым окном)
- '%WINDIR%\explorer.exe' YmMxcW0yajhzNG5kOHBrZnE0ejlqODl4dDcyd2t3djJheHk4aHg4NzlkLDRBTG1URmtQRUFmNGp5c0V6QmpRdzllWGRwRnBvU3NCVzVuN1VTN1FuenlDNTM5UHlGRkI2cEZVY3lCeHp5MjRmU2V5enRuNmtiRW80WkI2b1FhcG9iOEhBNGg2OU1VLDB4RjNjN...' (со скрытым окном)
- '%ALLUSERSPROFILE%\windowsupdateversion-4.5.36\update.exe' ' (со скрытым окном)
- '%WINDIR%\explorer.exe' 2636' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn WindowsUpdate /rl HIGHEST /tr %ALLUSERSPROFILE%\WindowsUpdateVersion-4.5.36\Update.exe
- '%WINDIR%\explorer.exe' 1348
- '%WINDIR%\explorer.exe' YmMxcW0yajhzNG5kOHBrZnE0ejlqODl4dDcyd2t3djJheHk4aHg4NzlkLDRBTG1URmtQRUFmNGp5c0V6QmpRdzllWGRwRnBvU3NCVzVuN1VTN1FuenlDNTM5UHlGRkI2cEZVY3lCeHp5MjRmU2V5enRuNmtiRW80WkI2b1FhcG9iOEhBNGg2OU1VLDB4RjNjN...
- '<SYSTEM32>\taskeng.exe' {F137F443-21B0-482F-B760-E48437E59A46} S-1-5-21-1960123792-2022915161-3775307078-1001:tgnqte\user:Interactive:[1]
- '%WINDIR%\explorer.exe' 2636
