Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'GoogleUpdater' = '<SYSTEM32>\<Имя файла>.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
удаляет теневые копии разделов.
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\<Имя файла>.exe
- %TEMP%\<Имя файла>.exe
- %CommonProgramFiles%\<Имя файла>.exe
- %CommonProgramFiles%\22968012952296801295
- %CommonProgramFiles%\5921086922
Удаляет следующие файлы:
- <SYSTEM32>\<Имя файла>.exe
- %TEMP%\<Имя файла>.exe
Подменяет следующие файлы:
- C:\RECYCLER\S-1-5-21-2052111302-484763869-725345543-1003\desktop.ini
- <SYSTEM32>\<Имя файла>.exe
- %TEMP%\<Имя файла>.exe
Сетевая активность:
Подключается к:
- 'bl###chain.info':443
UDP:
- DNS ASK bl###chain.info
Другое:
Создает и запускает на исполнение:
- '<Полный путь к файлу>'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c schtasks /create /sc onlogon /tn 2296801295 /rl highest /tr %CommonProgramFiles%\<Имя файла>.exe
- '<SYSTEM32>\cmd.exe' /C title 7558854|vssadmin.exe Delete Shadows /All /Quiet
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /tn 2296801295 /rl highest /tr %CommonProgramFiles%\<Имя файла>.exe
- '<SYSTEM32>\cmd.exe' /C title 2724930|bcdedit /set {default} recoveryenabled No
- '<SYSTEM32>\cmd.exe' /C title 2484533|bcdedit /set {default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\cmd.exe' /S /D /c" title 2484533"
- '<SYSTEM32>\cmd.exe' /S /D /c" title 7558854"
- '<SYSTEM32>\cmd.exe' /S /D /c" title 2724930"
