Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- nul
Сетевая активность
TCP
- 'tr###tysteal.me':443
UDP
- DNS ASK tr###tysteal.me
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall set allprofiles state off > nul
- '%WINDIR%\syswow64\netsh.exe' advfirewall set allprofiles state off
- '%WINDIR%\syswow64\cmd.exe' /c color b
- '%WINDIR%\syswow64\cmd.exe' /c cls
