Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ewzndloldq_signer.bat
- nul
- %APPDATA%\microsoft\crypto\keys\fa16ea404b543345214b136b0f633b53_8cf7b530-613e-439b-a8c5-ccfc0e745400
- %APPDATA%\microsoft\systemcertificates\request\certificates\b5e8ef4add4fb656725f74e09a6ec5c2036a2269
- %APPDATA%\microsoft\systemcertificates\my\certificates\4b8c9c3b0dee230bf317464604b75e1f409aa4dd
- %APPDATA%\microsoft\systemcertificates\my\keys\950a1bae885059da3613c47a669c2693a0fbdc32
- %TEMP%\temp_cert.cer
Удаляет файлы, которые сам же создал
- %APPDATA%\microsoft\systemcertificates\request\certificates\b5e8ef4add4fb656725f74e09a6ec5c2036a2269
- %TEMP%\temp_cert.cer
Сетевая активность
UDP
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Добавляет корневой сертификат
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\ewZndLolDq_signer.bat" " (со скрытым окном)
- '<SYSTEM32>\timeout.exe' /t 1 /nobreak
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "$cert = New-SelfSignedCertificate -Type CodeSigningCert -Subject 'CN=MqEdPzHoPB' -CertStoreLocation Cert:\CurrentUser\My -NotAfter (Get-Date).AddYears(1); $cer...
- '<SYSTEM32>\svchost.exe' -k LocalSystemNetworkRestricted -p -s NgcSvc
