Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WinUpdate' = '<Полный путь к файлу>'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\app.exe
- %TEMP%\svc.exe
- nul
- %TEMP%\tmp88f2.tmp
- %TEMP%\tmp8922.tmp
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\app.exe.log
Удаляет файлы, которые сам же создал
- %TEMP%\tmp88f2.tmp
- %TEMP%\tmp8922.tmp
Сетевая активность
Подключается к
- '51.##.214.217':8000
UDP
- DNS ASK store-images.s-microsoft.com
- DNS ASK storeedgefd.dsx.mp.microsoft.com
- DNS ASK da.###xservices.com
- DNS ASK livetileedge.dsx.mp.microsoft.com
Другое
Создает и запускает на исполнение
- '%TEMP%\app.exe'
- '%TEMP%\svc.exe' -s=51.##.214.217:8000
Запускает на исполнение
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WinUpdate /t REG_SZ /d <Полный путь к файлу> /f (со скрытым окном)
- '%ProgramFiles%\windowsapps\microsoft.windowsstore_11910.1002.5.0_x64__8wekyb3d8bbwe\winstore.app.exe' -ServerName:App.AppXc75wvwned5vhz4xyxxecvgdjhdkgsdza.mca
- '<SYSTEM32>\svchost.exe' -k appmodel -p -s camsvc
- '%TEMP%\svc.exe' -s=51.##.214.217:8000 (со скрытым окном)
