Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\googleupdatetaskmachineqc
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\google\chrome\updater.exe
- %TEMP%\jehpdksfsfav.tmp
Другое
Создает и запускает на исполнение
- '%APPDATA%\google\chrome\updater.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' <#meqbj#> IF([System.Environment]::OSVersion.Version -lt [System.Version]"6.2") { schtasks /create /f /sc onlogon /rl highest /tn 'GoogleUpdateTaskMachineQC' /tr '''%APPDATA%\Google\Chrome\upd...
- '%APPDATA%\google\chrome\updater.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' <#meqbj#> IF([System.Environment]::OSVersion.Version -lt [System.Version]"6.2") { schtasks /create /f /sc onlogon /rl highest /tn 'GoogleUpdateTaskMachineQC' /tr '''%APPDATA%\Google\Chrome\upd...
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /rl highest /tn GoogleUpdateTaskMachineQC /tr '%APPDATA%\Google\Chrome\updater.exe'
- '<SYSTEM32>\schtasks.exe' /run /tn "GoogleUpdateTaskMachineQC"
- '<SYSTEM32>\taskeng.exe' {D22618F9-5D5D-4249-8869-FDCB99DD8225} S-1-5-21-1238866942-1249195528-555854008-1000:aywzpskwgo\user:Interactive:[1]
