Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft Windows Host' = '%HOMEPATH%\Pictures\svchost.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsSvcHost' = '%LOCALAPPDATA%\Microsoft\WindowsApps\WindowsStore.Update.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = '%APPDATA%\winsysdrv.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'czssa' = '%ALLUSERSPROFILE%\xvnbu.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdateManager' = '%TEMP%\apzdgkjz.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowsupdate
- <SYSTEM32>\tasks\windows security checks
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\EmbeddedDriverService] 'ImagePath' = '%TEMP%\EmbeddedDriverService.sys'
Создает следующие сервисы
- 'EmbeddedDriverService' %TEMP%\EmbeddedDriverService.sys
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\update.exe
- <Имя диска съемного носителя>:\documents.lnk
- <Имя диска съемного носителя>:\work_report_2026.pdf.lnk
- <Имя диска съемного носителя>:\vacation_photos.lnk
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- расширений файлов
блокирует запуск следующих системных утилит:
- Центр обеспечения безопасности (Security Center)
- Системный антивирус (Защитник Windows)
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- <SYSTEM32>\sihost.exe
- <SYSTEM32>\taskhostw.exe
- <SYSTEM32>\runtimebroker.exe
следующие пользовательские процессы:
- firefox.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
Патчит код
в динамической библиотеке AMSI
- Процесс 5g515uuh.exe, модуль Amsi.dll
- Процесс 0_957312.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс 5g515uuh.exe, модуль ntdll.dll
- Процесс 0_957312.exe, модуль ntdll.dll
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\securityhealthsystray.exe
- <SYSTEM32>\securityhealthservice.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\hz6teis2.exe
- %TEMP%\aku40j44.exe
- %TEMP%\8zf8bifs.exe
- %TEMP%\winsyskdrv.exe
- %TEMP%\6ct90dlu.exe
- %HOMEPATH%\pictures\svchost.exe
- %TEMP%\573rvvat.exe
- %LOCALAPPDATA%\microsoft\windowsapps\windowsstore.update.exe
- %TEMP%\vsruntime17344.tmp
- %TEMP%\apzdgkjz.exe
- %TEMP%\embeddeddriverservice.sys
- %APPDATA%\winsysdrv.exe
- %TEMP%\s0411gjv.exe
- %TEMP%\5g515uuh.exe
- %TEMP%\0_957312.exe
- %APPDATA%\dwrvc.exe
- %APPDATA%\microsoft\windows\services\winhost.exe
- %ALLUSERSPROFILE%\xvnbu.exe
- %TEMP%\1_964500.exe
- %TEMP%\hjrx0gfv.exe
- %TEMP%\2_969140.exe
- %HOMEPATH%\update.exe
- %HOMEPATH%\desktop\my documents.lnk
- %HOMEPATH%\desktop\downloads.lnk
- %HOMEPATH%\desktop\work files.lnk
- %HOMEPATH%\desktop\shared photos.lnk
- %HOMEPATH%\.oracle_jre_usage\update.exe
- %HOMEPATH%\.oracle_jre_usage\.oracle_jre_usage - files.lnk
- %HOMEPATH%\3d objects\update.exe
- %HOMEPATH%\3d objects\3d objects - files.lnk
- %HOMEPATH%\contacts\update.exe
- %HOMEPATH%\contacts\contacts - files.lnk
- %HOMEPATH%\desktop\update.exe
- %HOMEPATH%\desktop\desktop - files.lnk
- %HOMEPATH%\documents\update.exe
- %HOMEPATH%\documents\documents - files.lnk
- %HOMEPATH%\downloads\update.exe
- %HOMEPATH%\downloads\downloads - files.lnk
- %HOMEPATH%\favorites\update.exe
- %HOMEPATH%\favorites\favorites - files.lnk
- %HOMEPATH%\favorites\links\update.exe
- %HOMEPATH%\favorites\links\links - files.lnk
- %HOMEPATH%\links\update.exe
- %HOMEPATH%\links\links - files.lnk
- %HOMEPATH%\music\update.exe
- %HOMEPATH%\music\music - files.lnk
- %HOMEPATH%\pictures\update.exe
- %HOMEPATH%\pictures\pictures - files.lnk
- %HOMEPATH%\pictures\camera roll\update.exe
- %HOMEPATH%\pictures\camera roll\camera roll - files.lnk
- %HOMEPATH%\saved games\update.exe
- %HOMEPATH%\saved games\saved games - files.lnk
- %HOMEPATH%\searches\update.exe
- %HOMEPATH%\searches\searches - files.lnk
- %HOMEPATH%\videos\update.exe
- %HOMEPATH%\videos\videos - files.lnk
- D:\update.exe
- %TEMP%\rcxat5gq.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\hz6teis2.exe
- %TEMP%\aku40j44.exe
- %TEMP%\8zf8bifs.exe
- %TEMP%\winsyskdrv.exe
- %TEMP%\6ct90dlu.exe
- %HOMEPATH%\pictures\svchost.exe
- %TEMP%\573rvvat.exe
- %LOCALAPPDATA%\microsoft\windowsapps\windowsstore.update.exe
- %TEMP%\vsruntime17344.tmp
- %TEMP%\apzdgkjz.exe
- %APPDATA%\winsysdrv.exe
- %TEMP%\s0411gjv.exe
- %TEMP%\5g515uuh.exe
- %APPDATA%\microsoft\windows\services\winhost.exe
- %ALLUSERSPROFILE%\xvnbu.exe
- %HOMEPATH%\update.exe
- %HOMEPATH%\.oracle_jre_usage\update.exe
- %HOMEPATH%\3d objects\update.exe
- %HOMEPATH%\contacts\update.exe
- %HOMEPATH%\desktop\update.exe
- %HOMEPATH%\documents\update.exe
- %HOMEPATH%\downloads\update.exe
- %HOMEPATH%\favorites\update.exe
- %HOMEPATH%\favorites\links\update.exe
- %HOMEPATH%\links\update.exe
- %HOMEPATH%\music\update.exe
- %HOMEPATH%\pictures\update.exe
- %HOMEPATH%\pictures\camera roll\update.exe
- %HOMEPATH%\saved games\update.exe
- %HOMEPATH%\searches\update.exe
- %HOMEPATH%\videos\update.exe
- D:\update.exe
- <Имя диска съемного носителя>:\update.exe
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- '19#.#51.107.130':80
- '62.##.226.159':80
TCP
Запросы HTTP GET
- http://62.##.226.159/data.php?hw#################################################################################################################################################################...
- http://62.##.226.159/uploads/zQAXJLrhOrPH.exe
Запросы HTTP POST
- http://19#.#51.107.130/16b022998f754137b60a.php
- http://62.##.226.159/xvzpjyddlu/getdata.php
Другое
Создает и запускает на исполнение
- '%TEMP%\hz6teis2.exe'
- '%TEMP%\aku40j44.exe'
- '%TEMP%\8zf8bifs.exe'
- '%TEMP%\6ct90dlu.exe'
- '%TEMP%\573rvvat.exe'
- '%TEMP%\winsyskdrv.exe'
- '%TEMP%\apzdgkjz.exe'
- '%TEMP%\s0411gjv.exe'
- '%TEMP%\5g515uuh.exe'
- '%APPDATA%\dwrvc.exe'
- '%TEMP%\0_957312.exe'
- '%ALLUSERSPROFILE%\xvnbu.exe'
- '%TEMP%\hjrx0gfv.exe'
- '%TEMP%\1_964500.exe'
- '%TEMP%\2_969140.exe'
- '%TEMP%\rcxat5gq.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "WindowsUpdate" /tr "%APPDATA%\winsysdrv.exe" /sc onlogon /rl highest /f (со скрытым окном)
- '%TEMP%\hz6teis2.exe' (со скрытым окном)
- '%TEMP%\aku40j44.exe' (со скрытым окном)
- '%TEMP%\8zf8bifs.exe' (со скрытым окном)
- '%TEMP%\6ct90dlu.exe' (со скрытым окном)
- '%TEMP%\573rvvat.exe' (со скрытым окном)
- '%TEMP%\apzdgkjz.exe' (со скрытым окном)
- '%TEMP%\s0411gjv.exe' (со скрытым окном)
- '%TEMP%\5g515uuh.exe' (со скрытым окном)
- '%TEMP%\0_957312.exe' (со скрытым окном)
- '%ALLUSERSPROFILE%\xvnbu.exe' (со скрытым окном)
- '%TEMP%\1_964500.exe' (со скрытым окном)
- '%TEMP%\2_969140.exe' (со скрытым окном)
