Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = '%WINDIR%\xdwd.dll'
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows defender.exe
- <SYSTEM32>\tasks\jusched.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmpa302.tmp.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %HOMEPATH%\videos\xdwdiscord.exe
- %HOMEPATH%\documents\xdwdjava.exe
- %WINDIR%\xdwd.dll
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\tmpa302.tmp.exe.log
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\xdwdiscord.exe.log
Сетевая активность
Подключается к
- 'ma######ings.gl.at.ply.gg':21013
UDP
- DNS ASK ma######ings.gl.at.ply.gg
Другое
Создает и запускает на исполнение
- '%TEMP%\tmpa302.tmp.exe'
- '%HOMEPATH%\videos\xdwdiscord.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' netsh advfirewall firewall add rule name="H1`$PtR5P`C-Pr" dir=in action=allow program="%HOMEPATH%\Videos\xdwdiscord.exe" enable=yes & exit
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc minute /mo 1 /tn "Windows Defender.exe" /tr "%HOMEPATH%\Videos\xdwdiscord.exe" /RL HIGHEST & exit
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc minute /mo 30 /tn "jusched.exe" /tr "%HOMEPATH%\Documents\xdwdjava.exe" /RL HIGHEST & exit
- '<SYSTEM32>\schtasks.exe' /create /f /sc minute /mo 1 /tn "Windows Defender.exe" /tr "%HOMEPATH%\Videos\xdwdiscord.exe" /RL HIGHEST
- '<SYSTEM32>\schtasks.exe' /create /f /sc minute /mo 30 /tn "jusched.exe" /tr "%HOMEPATH%\Documents\xdwdjava.exe" /RL HIGHEST
