Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'SecurityHealthService' = '%APPDATA%\Microsoft\Windows\Themes\SecurityHealthService.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\security\securityhealthservice
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\themes\securityhealthservice.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\themes\securityhealthservice.exe
Сетевая активность
Подключается к
- '15#.#20.119.236':5018
- 'ap#.#pify.org':80
TCP
Запросы HTTP GET
Другие
- '15#.#20.119.236':5018
UDP
- DNS ASK ap#.#pify.org
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /F /SC ONLOGON /TN "\Microsoft\Windows\Security\SecurityHealthService" /TR "\"%APPDATA%\Microsoft\Windows\Themes\SecurityHealthService.exe\"" /RL HIGHEST (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ipconfig /all (со скрытым окном)
- '<SYSTEM32>\ipconfig.exe' /all
- '<SYSTEM32>\cmd.exe' /c powershell -NoProfile -Command "try { if ((Get-MpPreference).DisableRealtimeMonitoring -eq $false) { write-host 'ON' } else { write-host 'OFF' } } catch { write-host 'UNKNOWN' }" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -Command "try { if ((Get-MpPreference).DisableRealtimeMonitoring -eq $false) { write-host 'ON' } else { write-host 'OFF' } } catch { write-host 'UNKNOWN' }"
- '<SYSTEM32>\cmd.exe' /c nvidia-smi --query-gpu=temperature.gpu --format=csv,noheader (со скрытым окном)
