Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\fud.bat
- %TEMP%\RarSFX0\CryptoWire.sfx.exe
- %TEMP%\RarSFX1\CryptoWire.exe
- %CommonProgramFiles%\CryptoWire.exe
- %CommonProgramFiles%\22968012952296801295
- %CommonProgramFiles%\5921086922
Подменяет следующие файлы:
- C:\RECYCLER\S-1-5-21-2052111302-484763869-725345543-1003\desktop.ini
Сетевая активность:
Подключается к:
- 'bl###chain.info':443
UDP:
- DNS ASK bl###chain.info
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\CryptoWire.sfx.exe' -p123 -d%HOMEPATH%\Local Settings\Temp
- '%TEMP%\RarSFX1\CryptoWire.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\fud.bat" "
- '<SYSTEM32>\cmd.exe' /c schtasks /create /sc onlogon /tn 2296801295 /rl highest /tr %CommonProgramFiles%\CRYPTO~1.EXE
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /tn 2296801295 /rl highest /tr %CommonProgramFiles%\CRYPTO~1.EXE
- '<SYSTEM32>\cmd.exe' /C title 4721693|vssadmin.exe Delete Shadows /All /Quiet
- '<SYSTEM32>\cmd.exe' /C title 7288223|bcdedit /set {default} recoveryenabled No
- '<SYSTEM32>\cmd.exe' /S /D /c" title 4721693"
- '<SYSTEM32>\cmd.exe' /C title 8522590|bcdedit /set {default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\cmd.exe' /S /D /c" title 8522590"
- '<SYSTEM32>\cmd.exe' /S /D /c" title 7288223"
