Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdateCheck' = '<Полный путь к файлу>'
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<Полный путь к файлу>,explorer.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoftedgeupdatetask
- %APPDATA%\microsoft\windows\start menu\programs\startup\securityhealth.lnk
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\wmi_install.vbs
Удаляет файлы, которые сам же создал
- %TEMP%\wmi_install.vbs
Сетевая активность
Подключается к
- 'localhost':9090
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cscript.exe' //nologo "%TEMP%\wmi_install.vbs"
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "MicrosoftEdgeUpdateTask" /tr "<Полный путь к файлу>" /sc ONLOGON /delay 0000:30 /rl HIGHEST /f (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "$WshShell=New-Object -ComObject WScript.Shell;$Shortcut=$WshShell.CreateShortcut('%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\SecurityHealth.lnk');$Shortcut.TargetPath='<П... (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C cscript //nologo "%TEMP%\wmi_install.vbs" (со скрытым окном)
