Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\runtimebroker-684f44a3
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\dllhost.exe
Патчит код
в динамической библиотеке NTDLL
- Процесс cwqwj.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\junk.tmp
- %LOCALAPPDATA%\microsoft\windows\runtimebroker-684f44a3.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\microsoft\windows\runtimebroker-684f44a3.exe
Удаляет файлы, которые сам же создал
- %TEMP%\junk.tmp
Подменяет следующие файлы
- %TEMP%\junk.tmp
Сетевая активность
UDP
- 'localhost':0
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$ns='root\subscription';$f=Set-WmiInstance -Namespace $ns -Class __EventFilter -Arguments @{Name='RuntimeBroker-684f44a3F';QueryLanguage...
- '<SYSTEM32>\schtasks.exe' /Create /TN Microsoft\Windows\RuntimeBroker-684f44a3 /TR %LOCALAPPDATA%\Microsoft\Windows\RuntimeBroker-684f44a3.exe /SC ONLOGON /RU "" /RL HIGHEST /F
- '<SYSTEM32>\dllhost.exe'
- '%ProgramFiles%\windowsapps\microsoft.windowscalculator_10.1906.55.0_x64__8wekyb3d8bbwe\calculator.exe' -ServerName:App.AppXsm3pg4n7er43kdh1qp4e79f1j7am68r8.mca
- '<SYSTEM32>\svchost.exe' -k appmodel -p -s camsvc
