Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\onedrive
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\windowsdefender\watchdog.vbs
- <SYSTEM32>\windowsdefender\watchdog.bat
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Присваивает атрибут 'скрытый' для следующих файлов
- <SYSTEM32>\windowsdefender\watchdog.bat
Сетевая активность
Подключается к
- 'ic###azip.com':80
- 'pa###bin.com':443
- 'pk#.goog':80
- 'di###rdapp.com':443
TCP
Запросы HTTP GET
- http://ic###azip.com/
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'pa###bin.com':443
- 'di###rdapp.com':443
UDP
- DNS ASK ic###azip.com
- DNS ASK pa###bin.com
- DNS ASK pk#.goog
- DNS ASK di###rdapp.com
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /CREATE /TN OneDrive /TR <SYSTEM32>\WindowsDefender\Watchdog.vbs /SC ONLOGON /RL HIGHEST /F (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /run /tn "BackupTask" (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +s +h <SYSTEM32>\WindowsDefender\Watchdog.bat (со скрытым окном)
- '<SYSTEM32>\cacls.exe' <SYSTEM32>\WindowsDefender /e /p everyone:n (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +s +h <SYSTEM32>\WindowsDefender (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +s +h <SYSTEM32>\WindowsDefender\Watchdog.vbs (со скрытым окном)
