Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\winupdate
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\~tstb49e.tmp
- %APPDATA%\systemcore.exe
- %TEMP%\driversys.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\systemcore.exe
- %TEMP%\driversys.tmp
Удаляет файлы, которые сам же создал
- %APPDATA%\~tstb49e.tmp
Подменяет следующие файлы
- %APPDATA%\~tstb49e.tmp
Сетевая активность
UDP
- DNS ASK co####.maruskes.org
- DNS ASK co####.gallonex.com
- DNS ASK co####.windowmv.com
- DNS ASK ap#.##herscan.io
- DNS ASK bi###cket.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\systemcore.exe'
- '%TEMP%\driversys.tmp'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /tn "winupdate" /tr %APPDATA%\SYSTEM~1.EXE /sc onlogon /rl limited /f (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c start "" "%TEMP%\driversys.tmp" (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "winupdate" /tr %APPDATA%\SYSTEM~1.EXE /sc onlogon /rl limited /f
- '%APPDATA%\systemcore.exe' (со скрытым окном)
