Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\updater.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\runtimebroker.exe
Патчит код
в динамической библиотеке
- Процесс updater.exe, модуль Wldp.dll
в динамической библиотеке AMSI
- Процесс updater.exe, модуль Amsi.dll
- Процесс runtimebroker.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс updater.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmpf3e6.tmp
- %TEMP%\tmpf473.tmp
- %APPDATA%\microsoft\crypto\keys\7b1e9b5bc7b1764d378db7b774e259d2_8cf7b530-613e-439b-a8c5-ccfc0e745400
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\start menu\programs\startup\updater.exe
Удаляет файлы, которые сам же создал
- %TEMP%\tmpf3e6.tmp
- %TEMP%\tmpf473.tmp
Сетевая активность
Подключается к
- '82.##.213.206':4545
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\updater.exe'
Запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\updater.exe' (со скрытым окном)
