Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'tFlyu' = '%APPDATA%\tFlyu\tFlyu.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
добавляет исключения антивируса с помощью следующих ключей реестра::
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '<Полный путь к файлу>' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\膶臁臆膠臕膮臔臋臘膧臎膤臋臅臕膣臂臔臁膴膰臘臒膱膳\<Имя файла>.exe_url_vvxm2tu1hsrfjnsphgfnwzkwmpb4wxqy\6.122.809.46\edf4mu0a.newcfg
- %TEMP%\9fd7d21e-7ed6-48b8-8631-6c536b7f66f1\advancedrun.exe
- %TEMP%\9fd7d21e-7ed6-48b8-8631-6c536b7f66f1\test.bat
- %APPDATA%\tflyu\tflyu.exe
Удаляет следующие файлы
- %TEMP%\9fd7d21e-7ed6-48b8-8631-6c536b7f66f1\advancedrun.exe
- %TEMP%\9fd7d21e-7ed6-48b8-8631-6c536b7f66f1\test.bat
Перемещает следующие файлы
- %LOCALAPPDATA%\膶臁臆膠臕膮臔臋臘膧臎膤臋臅臕膣臂臔臁膴膰臘臒膱膳\<Имя файла>.exe_url_vvxm2tu1hsrfjnsphgfnwzkwmpb4wxqy\6.122.809.46\edf4mu0a.newcfg в %LOCALAPPDATA%\膶臁臆膠臕膮臔臋臘膧臎膤臋臅臕膣臂臔臁膴膰臘臒膱膳\<Имя файла>.exe_url_vvxm2tu1hsrfjnsphgfnwzkwmpb4wxqy\6.122.809.46\user.config
Сетевая активность
Подключается к
- 'li########abestteamoftheworld.com':80
- 'li########abestteamoftheworld.com':443
TCP
Запросы HTTP GET
- http://li########abestteamoftheworld.com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-6F3951B626A94C9F96DD6CFD68A68BDB.html
- http://li########abestteamoftheworld.com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-5F1E874F999A8047FD846D6BD307C9A0.html
UDP
- DNS ASK li########abestteamoftheworld.com
Другое
Создает и запускает на исполнение
- '%TEMP%\9fd7d21e-7ed6-48b8-8631-6c536b7f66f1\advancedrun.exe' /EXEFilename "%TEMP%\9fd7d21e-7ed6-48b8-8631-6c536b7f66f1\test.bat" /WindowState ""0"" /PriorityClass ""32"" /CommandLine "" /StartDirectory "" /RunAs 8 /Run
- '%TEMP%\9fd7d21e-7ed6-48b8-8631-6c536b7f66f1\advancedrun.exe' /SpecialRun 4101d8 1132
- '%TEMP%\9fd7d21e-7ed6-48b8-8631-6c536b7f66f1\advancedrun.exe' /EXEFilename "%TEMP%\9fd7d21e-7ed6-48b8-8631-6c536b7f66f1\test.bat" /WindowState ""0"" /PriorityClass ""32"" /CommandLine "" /StartDirectory "" /RunAs 8 /Run' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c timeout 1' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force
- '%WINDIR%\syswow64\cmd.exe' /c timeout 1
- '%WINDIR%\syswow64\timeout.exe' 1
