Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdateHelper' = '<Полный путь к файлу>'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows update helper
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WindowsUpdateHelper] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\WindowsUpdateHelper] 'ImagePath' = '<Полный путь к файлу> --service'
Создает следующие сервисы
- 'WindowsUpdateHelper' <Полный путь к файлу> --service
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- 'di##ord.com':443
TCP
Другие
- 'di##ord.com':443
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK di##ord.com
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' create WindowsUpdateHelper binPath= "<Полный путь к файлу> --service" start= auto (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' description WindowsUpdateHelper "Provides Windows Update assistance" (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "Windows Update Helper" /tr "<Полный путь к файлу>" /sc minute /mo 2 /f (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {36BF822B-9A64-4195-AC49-4E8E66FC18FE} S-1-5-21-3691498038-2086406363-2140527554-1000:mozxpgtz\user:Interactive:[1]
- '<Полный путь к файлу>' (со скрытым окном)
