Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{E14F58F1-154E-8D0A-756F-77A6B87C7842}' = '%APPDATA%\Miiryz\ofyl.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Создает и запускает на исполнение:
- '%APPDATA%\Miiryz\ofyl.exe'
Запускает на исполнение:
- '%APPDATA%\Miiryz\ofyl.exe'
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\tmp_3ac5db03.bat"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
большое количество пользовательских процессов.
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\g[1].htm
- %TEMP%\tmp_3ac5db03.bat
- %APPDATA%\Miiryz\ofyl.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '2n######kogbiykd.onion.pw':80
UDP:
- DNS ASK 2n######kogbiykd.onion.pw
Другое:
Ищет следующие окна:
- ClassName: 'Rock Debugger' WindowName: ''
- ClassName: 'ObsidianGUI' WindowName: ''
- ClassName: 'Zeta Debugger' WindowName: ''
- ClassName: 'WinDbgFrameClass' WindowName: ''
- ClassName: 'Immunity Debugger' WindowName: ''
