Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] '$99<Имя файла>.exe' = '%HOMEPATH%\Documents\$99<Имя файла>.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpda.exe' = '"%WINDIR%\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowsupda.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\$99<Имя файла>.exe
- %APPDATA%\logs\03-17-2026
Сетевая активность
Подключается к
- 'ip##pi.com':80
- 'wi######0-11.duckdns.org':434
TCP
Запросы HTTP GET
- http://ip##pi.com/json/
UDP
- DNS ASK ip##pi.com
- DNS ASK wi######0-11.duckdns.org
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "$99<Имя файла>.exe" /t REG_SZ /d "%HOMEPATH%\Documents\$99<Имя файла>.exe" /f
- '%WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe'
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "$99<Имя файла>.exe" /t REG_SZ /d "%HOMEPATH%\Documents\$99<Имя файла>.exe" /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "WindowsUpda.exe" /sc ONLOGON /tr "%WINDIR%\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe" /rl HIGHEST /f
