Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Environment] 'UserInitMprLogonScript' = '%LOCALAPPDATA%\Microsoft\OneDrive\OneDriveSync.exe'
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'MicrosoftEdgeUpdateSvc' = '%LOCALAPPDATA%\Microsoft\OneDrive\OneDriveSync.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\microsoftedgeupdate.lnk
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\onedrive\onedrivesync.exe
- %LOCALAPPDATA%\microsoft\onedrive\desktop.ini:syncdata
Сетевая активность
Подключается к
- '13#.#2.180.28':80
- 'ga####y.tenderly.co':443
- 'x1.#.lencr.org':80
- 'po####n.lava.build':443
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'ga####y.tenderly.co':443
- 'po####n.lava.build':443
UDP
- DNS ASK ga####y.tenderly.co
- DNS ASK x1.#.lencr.org
- DNS ASK po####n.lava.build
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\microsoft\onedrive\onedrivesync.exe'
Запускает на исполнение
- '%LOCALAPPDATA%\microsoft\onedrive\onedrivesync.exe' (со скрытым окном)
