Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\systemautoupdatetask
Вредоносные функции
Патчит код
в динамической библиотеке
- Процесс zsnhquq.exe, модуль KERNELBASE.dll
- Процесс zsnhquq.exe, модуль KERNEL32.dll
- Процесс svchost.exe, модуль KERNELBASE.dll
- Процесс svchost.exe, модуль KERNEL32.dll
в динамической библиотеке NTDLL
- Процесс zsnhquq.exe, модуль ntdll.dll
- Процесс svchost.exe, модуль ntdll.dll
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\svchost.exe
- nul
Сетевая активность
Подключается к
- 'di##ord.com':443
TCP
Другие
- 'di##ord.com':443
UDP
- DNS ASK di##ord.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\svchost.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /SC ONLOGON /TN SystemAutoUpdateTask /TR \"%APPDATA%\Microsoft\svchost.exe\" /F /RL HIGHEST
- '<SYSTEM32>\cmd.exe' /c start "" %APPDATA%\Microsoft\svchost.exe
- '<SYSTEM32>\cmd.exe' /c "ping 127.0.0.1 -n 2 > nul & del /f /q \"<Полный путь к файлу>\""
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 2
- '<SYSTEM32>\wbem\wmic.exe' /format:list "SELECT ProcessorId FROM Win32_Processor"
- '<SYSTEM32>\wbem\wmic.exe' /format:list "SELECT SerialNumber FROM Win32_BaseBoard"
- '<SYSTEM32>\wbem\wmic.exe' /format:list "SELECT SerialNumber FROM Win32_BIOS"
