Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows security checks
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
- <SYSTEM32>\sihost.exe
- <SYSTEM32>\taskhostw.exe
- %WINDIR%\explorer.exe
- <SYSTEM32>\runtimebroker.exe
Патчит код
в динамической библиотеке AMSI
- Процесс gyydzgkx.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс gyydzgkx.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\services\winhost.exe
- %TEMP%\gfujubst.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\services\winhost.exe
Сетевая активность
Подключается к
- '19#.#51.107.186':80
- 'my##ler.biz':9549
- 'ca##gra.biz':4219
- 'yo##gel.biz':8768
TCP
Запросы HTTP POST
UDP
- DNS ASK my##ler.biz
- DNS ASK ca##gra.biz
- DNS ASK yo##gel.biz
Другое
Создает и запускает на исполнение
- '%TEMP%\gfujubst.exe'
Запускает на исполнение
- '<SYSTEM32>\notepad.exe'
