Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsResumeSync' = '%APPDATA%\msedge_updater.exe'
Вредоносные функции
Патчит код
в динамической библиотеке NTDLL
- Процесс otcloj.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\msedge_updater.exe
- %TEMP%\thumbs.db:payload_stream
- nul
Сетевая активность
UDP
- DNS ASK 56##.###################36865636b2d696e222c2022686f7374223a226b73.00.cdn-sync-services.com
- DNS ASK 58##.###################16d706169676e223a2248522d32303236222c2022.01.cdn-sync-services.com
- DNS ASK 44##.#############23a22616374697665227d.02.cdn-sync-services.com
Другое
Запускает на исполнение
- '<SYSTEM32>\ping.exe' -t 127.0.0.1
- '<SYSTEM32>\cmd.exe' ping 127.0.0.1 -n 3 > nul & del /f /q "<Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
