Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\Windows Security Service] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\Windows Security Service] 'ImagePath' = '%APPDATA%\System32\SecurityHealthService.exe -k netsvcs -p -s Winmgmt'
Создает следующие сервисы
- 'Windows Security Service' %APPDATA%\System32\SecurityHealthService.exe -k netsvcs -p -s Winmgmt
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\docker\stats.log
- %APPDATA%\system32\securityhealthservice.exe
- %TEMP%\.<Имя файла>.ujxbnlwitdlmobeupfcqnttmtizvxccl.__selfdelete__.exe
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\.<Имя файла>.osqcyvsfrtroiqahyaqmbkpgwybsqsch.__relocated__.exe
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ip##pi.com
- DNS ASK pa###bin.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\system32\securityhealthservice.exe'
- '%TEMP%\.<Имя файла>.ujxbnlwitdlmobeupfcqnttmtizvxccl.__selfdelete__.exe' 464 %TEMP%\.<Имя файла>.osqcyvsfrtroiqahyaqmbkpgwybsqsch.__relocated__.exe
- '%APPDATA%\system32\securityhealthservice.exe' -k netsvcs -p -s Winmgmt
Запускает на исполнение
- '<SYSTEM32>\attrib.exe' %APPDATA%\System32
- '<SYSTEM32>\cmd.exe' /c exit
