Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
добавляет исключения антивируса с помощью следующих ключей реестра::
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '%APPDATA%\ricardo976764.exe' = '00000000'
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\ricardo976764.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%APPDATA%\ricardo976764.exe" -Force
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ricardo976764.exe
- %LOCALAPPDATA%\wtzjigirulmzkzjcuumnrgopn\ricardo976764.exe_url_fmhv0err24l4sgxl45hf1ohauiwh5urq\7.236.52.761\ezek4q5d.newcfg
Перемещает следующие файлы
- %LOCALAPPDATA%\wtzjigirulmzkzjcuumnrgopn\ricardo976764.exe_url_fmhv0err24l4sgxl45hf1ohauiwh5urq\7.236.52.761\ezek4q5d.newcfg в %LOCALAPPDATA%\wtzjigirulmzkzjcuumnrgopn\ricardo976764.exe_url_fmhv0err24l4sgxl45hf1ohauiwh5urq\7.236.52.761\user.config
Сетевая активность
Подключается к
- 'ma##x.tk':80
- 'li#####olofcfanclub.com':80
TCP
Запросы HTTP GET
- http://li#####olofcfanclub.com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-12C3C9F3EFF6F47E8170A1CF6776FE44.html
UDP
- DNS ASK ma##x.tk
- DNS ASK li#####olofcfanclub.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%APPDATA%\ricardo976764.exe" -Force' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c timeout 1' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c timeout 1
- '%WINDIR%\syswow64\timeout.exe' 1
