Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 'WinDefUpdate' = '<Полный путь к файлу>'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windefupdate
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\music\windefupdate.exe
- %LOCALAPPDATA%\temp_login.db
- %TEMP%\gk_c.db
- %TEMP%\gk_c.db-shm
- %LOCALAPPDATA%\temp_autofill.db
- %LOCALAPPDATA%\temp_cc.db
- %LOCALAPPDATA%\temp_tokens.db
Удаляет файлы, которые сам же создал
- %LOCALAPPDATA%\temp_login.db
- %TEMP%\gk_c.db-shm
- %TEMP%\gk_c.db
- %LOCALAPPDATA%\temp_autofill.db
- %LOCALAPPDATA%\temp_cc.db
- %LOCALAPPDATA%\temp_tokens.db
Подменяет следующие файлы
- %LOCALAPPDATA%\temp_autofill.db
Сетевая активность
Подключается к
- 'gi##.###hubusercontent.com':443
- 'x1.#.lencr.org':80
- 'ap#.#pify.org':443
- 'di##ord.com':443
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'gi##.###hubusercontent.com':443
- 'ap#.#pify.org':443
- 'di##ord.com':443
UDP
- DNS ASK gi##.###hubusercontent.com
- DNS ASK x1.#.lencr.org
- DNS ASK ap#.#pify.org
- DNS ASK di##ord.com
