Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\googleupdatetaskmachineqc
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\nib4.exe
- %APPDATA%\googleupdatetaskmachineqc.exe
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Counter-Strike: Global Offensive - Direct3D 9'
Создает и запускает на исполнение
- '%WINDIR%\nib4.exe'
- '%APPDATA%\googleupdatetaskmachineqc.exe'
- '%ProgramFiles%\google\chrome\updater.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EncodedCommand "PAAjAGYAcgByACMAPgBBAGQAZAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAAPAAjAGkAbABkACMAPgAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEAAKAAkAGUAbgB2ADoAVQBzAGUAcgBQAHIAbwBmAGkAbABlACwA...' (со скрытым окном)
- '%WINDIR%\nib4.exe' ' (со скрытым окном)
- '%APPDATA%\googleupdatetaskmachineqc.exe' ' (со скрытым окном)
- '%ProgramFiles%\google\chrome\updater.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EncodedCommand "PAAjAGYAcgByACMAPgBBAGQAZAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAAPAAjAGkAbABkACMAPgAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEAAKAAkAGUAbgB2ADoAVQBzAGUAcgBQAHIAbwBmAGkAbABlACwA...
