Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe] 'Debugger' = '%LOCALAPPDATA%\Microsoft\Vault\VaultSvc.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\languagecomponents\synctask
- <SYSTEM32>\tasks\microsoft\windows\taskscheduler\cache maintenance
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\corvus_2957252.log
- %LOCALAPPDATA%\microsoft\windowsapps\microsoftstore.exe
- %TEMP%\delete_original.bat
- %TEMP%\vsync.log
- %LOCALAPPDATA%\temp_task.xml
Удаляет файлы, которые сам же создал
- %LOCALAPPDATA%\temp_task.xml
Сетевая активность
Подключается к
- 'cl#####ad.squareweb.app':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?d4##############
Другие
- 'cl#####ad.squareweb.app':443
UDP
- DNS ASK cl#####ad.squareweb.app
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\microsoft\windowsapps\microsoftstore.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\delete_original.bat" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "Microsoft\Windows\LanguageComponents\SyncTask" /tr "%LOCALAPPDATA%\Microsoft\Vault\VaultSvc.exe" /sc onlogon /rl highest /f (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /xml "%LOCALAPPDATA%\temp_task.xml" /tn "\Microsoft\Windows\TaskScheduler\Cache Maintenance" /f (со скрытым окном)
- '%LOCALAPPDATA%\microsoft\windowsapps\microsoftstore.exe' (со скрытым окном)
