Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'MicrosoftEdgeUpdate' = '"%APPDATA%\MicrosoftEdgeUpdate.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoftedgeupdate
Вредоносные функции
Патчит код
в динамической библиотеке AMSI
- Процесс nzanejb.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс nzanejb.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoftedgeupdate.exe
- %TEMP%\tmp7b56.tmp
- %TEMP%\tmp7ba5.tmp
- %APPDATA%\microsoft\crypto\keys\7223cd8e71781568690bfb21c483d774_8cf7b530-613e-439b-a8c5-ccfc0e745400
Удаляет файлы, которые сам же создал
- %TEMP%\tmp7b56.tmp
- %TEMP%\tmp7ba5.tmp
Сетевая активность
Подключается к
- '15.##4.93.120':56001
TCP
Другие
- '15.##4.93.120':56001
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /TN "MicrosoftEdgeUpdate" /TR "\"%APPDATA%\MicrosoftEdgeUpdate.exe\"" /SC ONLOGON /RL HIGHEST /F
