Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updatertask
Вредоносные функции
Патчит код
в динамической библиотеке
- Процесс rhocf.exe, модуль KERNEL32.dll
- Процесс rhocf.exe, модуль KERNELBASE.dll
- Процесс rhocf.exe, модуль USER32.dll
- Процесс rhocf.exe, модуль ADVAPI32.dll
- Процесс taskhostw.exe, модуль KERNEL32.dll
- Процесс taskhostw.exe, модуль KERNELBASE.dll
- Процесс taskhostw.exe, модуль USER32.dll
- Процесс taskhostw.exe, модуль ADVAPI32.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\leppsoft\taskhostw.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<Имя файла>.exe.log
Другое
Создает и запускает на исполнение
- '%APPDATA%\leppsoft\taskhostw.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C schtasks /Create /F /SC MINUTE /MO 1 /TN "UpdaterTask" /TR "%APPDATA%\Leppsoft\taskhostw.exe"
- '%WINDIR%\syswow64\cmd.exe' /C timeout 4 && del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\timeout.exe' 4
- '%WINDIR%\syswow64\schtasks.exe' /Create /F /SC MINUTE /MO 1 /TN "UpdaterTask" /TR "%APPDATA%\Leppsoft\taskhostw.exe"
