Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\WinUpdateSys] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\WinUpdateSys] 'ImagePath' = '%TEMP%\WindowsUpdateModule\SystemUpdateService.exe'
Создает следующие сервисы
- 'WinUpdateSys' %TEMP%\WindowsUpdateModule\SystemUpdateService.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\windowsupdatemodule\systemupdateservice.exe
- nul
- %TEMP%\tmp8a88.tmp
- %TEMP%\tmp8b06.tmp
- %TEMP%\windowsupdatemodule\state.dat
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
Удаляет файлы, которые сам же создал
- %TEMP%\tmp8a88.tmp
- %TEMP%\tmp8b06.tmp
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\<Имя файла>.exe4416.tmp
Сетевая активность
UDP
- DNS ASK storeedge.microsoft.com
- DNS ASK displaycatalog.mp.microsoft.com
- DNS ASK store-images.s-microsoft.com
- DNS ASK storeedgefd.dsx.mp.microsoft.com
Другое
Создает и запускает на исполнение
- '%TEMP%\windowsupdatemodule\systemupdateservice.exe'
- '%TEMP%\windowsupdatemodule\systemupdateservice.exe' --monitor
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 -n 2 > nul & del /f /a /q "%TEMP%\<Имя файла>.exe4416.tmp"
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 2
- '%ProgramFiles%\windowsapps\microsoft.windowsstore_11910.1002.5.0_x64__8wekyb3d8bbwe\winstore.app.exe' -ServerName:App.AppXc75wvwned5vhz4xyxxecvgdjhdkgsdza.mca
- '<SYSTEM32>\svchost.exe' -k appmodel -p -s camsvc
