Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Environment] 'UserInitMprLogonScript' = '%LOCALAPPDATA%\Microsoft\OneDrive\OneDriveSync.exe'
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'MicrosoftEdgeUpdateSvc' = '%LOCALAPPDATA%\Microsoft\OneDrive\OneDriveSync.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\microsoftedgeupdate.lnk
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\onedrive\onedrivesync.exe
- %LOCALAPPDATA%\microsoft\onedrive\desktop.ini:syncdata
Сетевая активность
Подключается к
- '13#.#2.180.28':80
- 'po#######or-rpc.publicnode.com':443
TCP
Другие
- 'po#######or-rpc.publicnode.com':443
UDP
- DNS ASK po#######or-rpc.publicnode.com
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\microsoft\onedrive\onedrivesync.exe'
Запускает на исполнение
- '%LOCALAPPDATA%\microsoft\onedrive\onedrivesync.exe' (со скрытым окном)
