Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoftupdate
Вредоносные функции
Патчит код
в динамической библиотеке AMSI
- Процесс npev.exe, модуль Amsi.dll
- Процесс svchost.exe, модуль Amsi.dll
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\insomnia-c2\developer\amsi-log.txt
- %APPDATA%\microsoftupdate\svchost.exe
- %APPDATA%\microsoft\crypto\keys\d2d27992826b8695cd17c6d6739066a1_8cf7b530-613e-439b-a8c5-ccfc0e745400
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoftupdate\svchost.exe
Сетевая активность
Подключается к
- 'ap#.#pify.org':443
- 'c2.##rplord.org':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'ap#.#pify.org':443
- 'c2.##rplord.org':443
UDP
- DNS ASK ap#.#pify.org
- DNS ASK c2.##rplord.org
- DNS ASK x1.#.lencr.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoftupdate\svchost.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /TN MicrosoftUpdate /TR \"%APPDATA%\MicrosoftUpdate\svchost.exe\" /SC MINUTE /MO 15 /F
- '<SYSTEM32>\cmd.exe' /C ver
- '<SYSTEM32>\cmd.exe' /C "reg query HKLM\SOFTWARE\Microsoft\Cryptography /v MachineGuid"
- '<SYSTEM32>\reg.exe' query HKLM\SOFTWARE\Microsoft\Cryptography /v MachineGuid
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "[string](Invoke-RestMethod -UseBasicParsing -Uri 'https://api.ipify.org')"
