Техническая информация
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\mitigationscanner.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\safahfqyrhedw.dll
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\notifications\wpndatabase.db-journal
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\notifications\wpndatabase.db
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\notifications\wpndatabase.db-wal
- %ALLUSERSPROFILE%\microsoft\windows\onesettings\config.json
- %ALLUSERSPROFILE%\microsoft\windows\onesettings\asap_cloudpolicy.json
- %ALLUSERSPROFILE%\microsoft\windows\onesettings\cortanauwp.json
- %ALLUSERSPROFILE%\microsoft\windows\onesettings\ctac.json
- %ALLUSERSPROFILE%\microsoft\windows\onesettings\directxdbversion.json
- %ALLUSERSPROFILE%\microsoft\windows\onesettings\troubleshootingsvc.json
- %ALLUSERSPROFILE%\microsoft\windows\models\modelpayload.json
Перемещает следующие системные файлы
- %WINDIR%\softwaredistribution\datastore\logs\edb.log в %WINDIR%\softwaredistribution\datastore\logs\edb00001.log
Сетевая активность
Подключается к
- '45.##.130.165':443
- '45.##5.232.59':443
- '17#.#6.121.218':443
- '45.##.160.115':443
TCP
Другие
- '45.##5.232.59':443
Другое
Ищет следующие окна
- ClassName: 'Ahaepwpqwhwsi' WindowName: 'Ueedtueqfo'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' %TEMP%\Safahfqyrhedw.dll,start' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' %TEMP%\Safahfqyrhedw.dll,start
- '<SYSTEM32>\mitigationscanner.exe'
- '<SYSTEM32>\svchost.exe' -k wusvcs -p
