Техническая информация
Вредоносные функции
Патчит код
в динамической библиотеке AMSI
- Процесс edge_update_service.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс edge_update_service.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\onefile_3448_134166969500993455\stealth_stub.dll
- %TEMP%\onefile_3448_134166969500993455\_bz2.pyd
- %TEMP%\onefile_3448_134166969500993455\_cffi_backend.pyd
- %TEMP%\onefile_3448_134166969500993455\_ctypes.pyd
- %TEMP%\onefile_3448_134166969500993455\_decimal.pyd
- %TEMP%\onefile_3448_134166969500993455\_hashlib.pyd
- %TEMP%\onefile_3448_134166969500993455\_lzma.pyd
- %TEMP%\onefile_3448_134166969500993455\libcrypto-1_1.dll
- %TEMP%\onefile_3448_134166969500993455\libffi-8.dll
- %TEMP%\onefile_3448_134166969500993455\python3.dll
- %TEMP%\onefile_3448_134166969500993455\python311.dll
- %TEMP%\onefile_3448_134166969500993455\select.pyd
- %TEMP%\onefile_3448_134166969500993455\unicodedata.pyd
- %TEMP%\onefile_3448_134166969500993455\vcruntime140.dll
- %TEMP%\onefile_3448_134166969500993455\cryptography\hazmat\bindings\_rust.pyd
- %LOCALAPPDATA%\microsoftedgeupdate\edge_update_service.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\edge_update_service.exe.log
Сетевая активность
Подключается к
- '46.##9.90.127':2501
TCP
Другие
- '46.##9.90.127':2501
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\microsoftedgeupdate\edge_update_service.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '%LOCALAPPDATA%\microsoftedgeupdate\edge_update_service.exe' (со скрытым окном)
