Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = '<SYSTEM32>\winsrv.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\windowsupdate.lnk
- <SYSTEM32>\tasks\windowsupdatetask
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\actioncentercache\windows-systemtoast-securityandmaintenance_10_0.png
- <SYSTEM32>\winsrv.exe
- %TEMP%\makelnk.vbs
Удаляет файлы, которые сам же создал
- %TEMP%\makelnk.vbs
Сетевая активность
UDP
- DNS ASK ap#.##legram.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\winsrv.exe'
- '<SYSTEM32>\cscript.exe' //nologo "%TEMP%\makelnk.vbs"
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c cscript //nologo "%TEMP%\makelnk.vbs"
- '<SYSTEM32>\cmd.exe' /c schtasks /Create /SC ONLOGON /TN "WindowsUpdateTask" /TR "<SYSTEM32>\winsrv.exe" /RL HIGHEST /F
- '<SYSTEM32>\schtasks.exe' /Create /SC ONLOGON /TN "WindowsUpdateTask" /TR "<SYSTEM32>\winsrv.exe" /RL HIGHEST /F
