Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Security Updater' = '"%WINDIR%\SysWOW64\Windows Defender Updater\Windows Security Updater.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows security updater
- <SYSTEM32>\tasks\windowssystemhost
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\windows defender updater\windows security updater.exe
- %APPDATA%\windowsdefenderdata\03-13-2023
Сетевая активность
UDP
- DNS ASK ip##pi.com
- DNS ASK fr###eoip.net
- DNS ASK ap#.#pify.org
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windows defender updater\windows security updater.exe'
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "WINDOWSSYSTEMHOST" /tr "%WINDIR%\SysWOW64\Windows Defender Updater\Windows Security Updater.exe" /sc MINUTE /MO 1' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "Windows Security Updater" /sc ONLOGON /tr "<Полный путь к файлу>" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "Windows Security Updater" /sc ONLOGON /tr "%WINDIR%\SysWOW64\Windows Defender Updater\Windows Security Updater.exe" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "WINDOWSSYSTEMHOST" /tr "%WINDIR%\SysWOW64\Windows Defender Updater\Windows Security Updater.exe" /sc MINUTE /MO 1
- '<SYSTEM32>\taskeng.exe' {858FA828-D2C6-4935-BCB3-214BB4E948ED} S-1-5-21-1960123792-2022915161-3775307078-1001:jioweid\user:Interactive:[1]
