Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\google\update\crashreporttask
- <SYSTEM32>\tasks\microsoft\windows\devicesync\routine
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\protect\securityhealthsystray.exe
- %LOCALAPPDATA%\google\crashreports\googleupdatecore.exe
- %ALLUSERSPROFILE%\microsoft\devicesync\devicesynchost.exe
- %TEMP%\svc_task_894875.xml
- %TEMP%\svc_task_900828.xml
- %TEMP%\~ssclean_904593.bat
- nul
Удаляет файлы, которые сам же создал
- %TEMP%\svc_task_894875.xml
- %TEMP%\svc_task_900828.xml
Сетевая активность
Подключается к
- 'ip##pi.com':80
TCP
Запросы HTTP GET
- http://ip##pi.com/json/?fi##################
UDP
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\protect\securityhealthsystray.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Query /TN "Microsoft\Windows\AppID\PolicyConverter" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Query /TN "Google\Update\CrashReportTask" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Create /TN "Google\Update\CrashReportTask" /XML "%TEMP%\svc_task_894875.xml" /F (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Query /TN "Microsoft\Windows\DeviceSync\Routine" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Create /TN "Microsoft\Windows\DeviceSync\Routine" /XML "%TEMP%\svc_task_900828.xml" /F (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\\~ssclean_904593.bat" (со скрытым окном)
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
