Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /Delete /TN GoogleUpdateTaskMachineUA /F
- '<SYSTEM32>\schtasks.exe' /Delete /TN GoogleUpdateTaskMachineCore /F
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\sky.js
- %APPDATA%\id_listesi.txt
Удаляет следующие файлы:
- %APPDATA%\id_listesi.txt
- <DRIVERS>\etc\hosts
Подменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'ki##exe.com':80
- '74.##5.232.51':80
TCP:
Запросы HTTP GET:
- ki##exe.com/sky_coder/sky.js
UDP:
- DNS ASK ki##exe.com
- DNS ASK www.google.com
Другое:
Ищет следующие окна:
- ClassName: 'AutoHotkey' WindowName: '<Полный путь к вирусу>'
