Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'DuckClientUpdate' = '"%APPDATA%\DuckApp\syshost.exe" -installed'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\windowsupdate.vbs
- <SYSTEM32>\tasks\duckupdate
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\config.json
- %APPDATA%\duckapp\syshost.exe
- %APPDATA%\duckapp\config.json
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\config.json
- %APPDATA%\microsoft\windows\start menu\programs\startup\windowsupdate.vbs
- %APPDATA%\duckapp\config.json
Сетевая активность
UDP
- DNS ASK om####.ooguy.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\duckapp\syshost.exe' -installed
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /tn "DuckUpdate" /tr "\"%APPDATA%\DuckApp\syshost.exe\" -installed" /sc onlogon /f (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "DuckUpdate" /tr "\"%APPDATA%\DuckApp\syshost.exe\" -installed" /sc onlogon /f
- '%APPDATA%\duckapp\syshost.exe' -installed (со скрытым окном)
