Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = '%APPDATA%\Microsoft\Edge\Application\SecurityHealthSetup.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft1393
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei5522\vcruntime140.dll
- %TEMP%\_mei5522\_bz2.pyd
- %TEMP%\_mei5522\_ctypes.pyd
- %TEMP%\_mei5522\_decimal.pyd
- %TEMP%\_mei5522\_hashlib.pyd
- %TEMP%\_mei5522\_lzma.pyd
- %TEMP%\_mei5522\_queue.pyd
- %TEMP%\_mei5522\_socket.pyd
- %TEMP%\_mei5522\_ssl.pyd
- %TEMP%\_mei5522\_zstd.pyd
- %TEMP%\_mei5522\base_library.zip
- %TEMP%\_mei5522\libcrypto-3.dll
- %TEMP%\_mei5522\libffi-8.dll
- %TEMP%\_mei5522\libssl-3.dll
- %TEMP%\_mei5522\python314.dll
- %TEMP%\_mei5522\select.pyd
- %TEMP%\_mei5522\unicodedata.pyd
- %APPDATA%\microsoft\edge\application\securityhealthsetup.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\edge\application\securityhealthsetup.exe
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn Microsoft1393 /tr %APPDATA%\Microsoft\Edge\Application\SecurityHealthSetup.exe /sc onlogon /f /it /rl highest
