Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = '"%APPDATA%\Microsoft\Windows\<Имя файла>.exe" /silent'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowsdefenderupdate
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\<Имя файла>.exe
- nul
- %TEMP%\task.xml
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\<Имя файла>.exe
Удаляет файлы, которые сам же создал
- %TEMP%\task.xml
Сетевая активность
Подключается к
- 'ap#.#pify.org':443
- '18#.#30.191.103':8080
TCP
Запросы HTTP GET
Запросы HTTP POST
- http://18#.###.191.103:8080/register via 18#.#30.191.103
Другие
- 'ap#.#pify.org':443
- '18#.#30.191.103':8080
UDP
- DNS ASK ap#.#pify.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\<Имя файла>.exe' /silent
Запускает на исполнение
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /t REG_SZ /d "\"%APPDATA%\Microsoft\Windows\<Имя файла>.exe\" /silent" /f (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn WindowsDefenderUpdate /xml %TEMP%\task.xml /f (со скрытым окном)
- '%APPDATA%\microsoft\windows\<Имя файла>.exe' /silent (со скрытым окном)
