Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'MicrosoftEdgeUpdate' = 'C:\msys64\m98Q\ZYpO\QwXci\svc_56AB\edge-date.exe'
Вредоносные функции
Патчит код
в динамической библиотеке NTDLL
- Процесс edge-date.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- C:\msys64\m98q\zypo\qwxci\svc_56ab\edge-date.exe
- C:\msys64\m98q\zypo\qwxci\svc_56ab\applogrs.dll
- C:\msys64\m98q\zypo\qwxci\svc_56ab\applogrs_original.dll
- C:\msys64\m98q\zypo\qwxci\svc_56ab\edgestore.dll
- C:\msys64\m98q\zypo\qwxci\svc_56ab\edgestore.dat
- C:\msys64\m98q\zypo\qwxci\svc_56ab\webview2loader.dll
- C:\msys64\m98q\zypo\qwxci\svc_56ab\edgedat_svclnr.cfg
- %APPDATA%\microsoft\edgeupdate\edgestore.dll
- %APPDATA%\microsoft\edgeupdate\edgestore.dat
Удаляет файлы, которые сам же создал
- C:\msys64\m98q\zypo\qwxci\svc_56ab\edgedat_svclnr.cfg
Самоудаляется.
Сетевая активность
Подключается к
- '19#.#52.180.18':6613
- '19#.#52.180.18':6615
Другое
Создает и запускает на исполнение
- 'C:\msys64\m98q\zypo\qwxci\svc_56ab\edge-date.exe'
Запускает на исполнение
- 'C:\msys64\m98q\zypo\qwxci\svc_56ab\edge-date.exe' (со скрытым окном)
