Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{1B89E04B-8C22-97B9-A164-5AE87A580C1F}' = '%APPDATA%\Guit\tidu.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\bmp8573a5b1.bmp
- %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\MachineKeys\5fbce3ee365c4cb82d331dda8e394ac6_23ef5514-3059-436f-a4a7-4cefaab20eb1
- %TEMP%\tmp_c4ba8706.bat
- %ALLUSERSPROFILE%\Desktop\KEY
- %APPDATA%\Guit\tidu.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Guit\tidu.exe
Удаляет следующие файлы:
- <Полный путь к файлу>
Сетевая активность:
Подключается к:
- 'vn######5v4vofes.onion.top':443
- 'vn######5v4vofes.onion.rip':443
- 'vn######5v4vofes.onion.pw':80
- 'vn######5v4vofes.onion.link':80
- 'vn######5v4vofes.onion.to':443
- 'vn######5v4vofes.onion.sx':80
UDP:
- DNS ASK vn######5v4vofes.onion.top
- DNS ASK vn######5v4vofes.onion.rip
- DNS ASK vn######5v4vofes.onion.pw
- DNS ASK vn######5v4vofes.onion.link
- DNS ASK vn######5v4vofes.onion.to
- DNS ASK vn######5v4vofes.onion.sx
Другое:
Создает и запускает на исполнение:
- '%APPDATA%\Guit\tidu.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\tmp_c4ba8706.bat"
