Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\onedrive standalone update task-s-1-5-21-4165425321-4153752593-2322023643-1000
- <SYSTEM32>\tasks\microsoftupdatetaskusers-1-5-32-2456537112-101246289-228944324-1000
Вредоносные функции
Патчит код
в динамической библиотеке
- Процесс systemsettings.exe, модуль KERNEL32.dll
- Процесс systemsettings.exe, модуль ADVAPI32.dll
- Процесс systemsettings.exe, модуль KERNELBASE.dll
в динамической библиотеке NTDLL
- Процесс systemsettings.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\aswerf\<Имя файла>.pdf
- %APPDATA%\xwreg\systemsettings.dll
- %APPDATA%\xwreg\syncres.dat
- %APPDATA%\xwreg\dsccorer.mui
- %APPDATA%\xwreg\systemsettings.exe
- %LOCALAPPDATA%\adobe\color\profiles\wscrgb.icc
- %LOCALAPPDATA%\adobe\color\profiles\wsrgb.icc
- %LOCALAPPDATA%\adobe\color\acecache11.lst
Удаляет файлы, которые сам же создал
- <SYSTEM32>\tasks\microsoftupdatetaskusers-1-5-32-2456537112-101246289-228944324-1000
Сетевая активность
Подключается к
- 'ms###cord.com':7771
UDP
- DNS ASK ms###cord.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\xwreg\systemsettings.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%WINDIR%\Temp\aswerf\<Имя файла>.pdf" (со скрытым окном)
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%WINDIR%\Temp\aswerf\<Имя файла>.pdf"
