Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowsupdateservice
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM systemsvc.exe
Изменения в файловой системе
Создает следующие файлы
- nul
- %APPDATA%\microsoft\windows\systemhost\systemsvc.exe
- %APPDATA%\.holick\agent_id
Сетевая активность
Подключается к
- '93.##5.101.105':12989
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\systemhost\systemsvc.exe'
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -ExecutionPolicy Bypass -WindowStyle Hidden -Command " $task = Get-ScheduledTask -TaskName \"WindowsUpdateService\" -ErrorAction SilentlyContinue if (... (со скрытым окном)
- '<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq systemsvc.exe" /FO CSV /NH (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /F /IM systemsvc.exe (со скрытым окном)
- '%APPDATA%\microsoft\windows\systemhost\systemsvc.exe' (со скрытым окном)
