Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdateSvc' = '<Полный путь к файлу>'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowsupdatetask
- <SYSTEM32>\tasks\windowsupdatedaily
Вредоносные функции
Патчит код
в динамической библиотеке AMSI
- Процесс kgbs.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс kgbs.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dummy0.tmp
- %TEMP%\dummy1.tmp
- %TEMP%\dummy2.tmp
- %TEMP%\dummy3.tmp
- %TEMP%\dummy4.tmp
Удаляет файлы, которые сам же создал
- %TEMP%\dummy0.tmp
- %TEMP%\dummy1.tmp
- %TEMP%\dummy2.tmp
- %TEMP%\dummy3.tmp
- %TEMP%\dummy4.tmp
Сетевая активность
Подключается к
- 'localhost':8080
UDP
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "WindowsUpdateTask" /tr "\"<Полный путь к файлу>\"" /sc ONLOGON /ru "SYSTEM" /f /it (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "WindowsUpdateDaily" /tr "\"<Полный путь к файлу>\"" /sc DAILY /st 09:00 /ru "SYSTEM" /f /it (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "$task = Get-ScheduledTask -TaskName 'WindowsUpdateTask'; $task.Settings.Hidden = 1; $task.Settings.Enabled = 1; Set-ScheduledTask $task" (со скрытым окном)
