Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'RtusSifz' = '"%APPDATA%\svnc.exe"'
Изменения в файловой системе
Создает следующие файлы
- nul
- %WINDIR%\inf\sfa.exe
- %WINDIR%\inf\sfaupdater.exe
- %APPDATA%\svnc.exe
- %TEMP%\install.vbs
- %APPDATA%\rgoss.dat
- %APPDATA%\logoss.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\svnc.exe
- %APPDATA%\rgoss.dat
- %APPDATA%\logoss.dat
Удаляет следующие файлы
- %TEMP%\install.vbs
Сетевая активность
TCP
- 'yu#####23.duckdns.org':1777
UDP
- DNS ASK yu#####23.duckdns.org
Другое
Создает и запускает на исполнение
- '%WINDIR%\inf\sfa.exe'
- '%WINDIR%\inf\sfaupdater.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\install.vbs"
- '%APPDATA%\svnc.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\install.vbs"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "%APPDATA%\svnc.exe"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real - Time Protection" /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f > nul 2>&1
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real - Time Protection" /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f
- '<SYSTEM32>\cmd.exe' /c start %WINDIR%\INF\Sfa.exe
- '<SYSTEM32>\cmd.exe' /c start %WINDIR%\INF\SfaUpdater.exe
- '%WINDIR%\syswow64\cmd.exe' /c "%APPDATA%\svnc.exe"
