Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\systemupdate
- <SYSTEM32>\tasks\winrun
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
- ClassName: 'GBDYLLO', WindowName: ''
- ClassName: 'pediy06', WindowName: ''
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\noncrypt.exe
- %ALLUSERSPROFILE%\winsys.exe
- %TEMP%\systemdebug.exe
Сетевая активность
Подключается к
- '2n#.co':443
TCP
- '2n#.co':443
UDP
- DNS ASK 2n#.co
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\noncrypt.exe'
- '%ALLUSERSPROFILE%\winsys.exe'
- '%WINDIR%\syswow64\schtasks.exe' /create /tn WinRun /tr "C:/ProgramData/WinSys.exe" /sc minute /F' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /tn SystemUpdate /tr "%TEMP%\SystemDebug.exe" /sc hourly /F' (со скрытым окном)
- '%ALLUSERSPROFILE%\winsys.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn WinRun /tr "C:/ProgramData/WinSys.exe" /sc minute /F
- '%WINDIR%\syswow64\schtasks.exe' /create /tn SystemUpdate /tr "%TEMP%\SystemDebug.exe" /sc hourly /F
- '<SYSTEM32>\taskeng.exe' {7A7EC39C-E7F1-468D-B329-1D088C6A45DD} S-1-5-21-1960123792-2022915161-3775307078-1001:auhmybdavv\user:Interactive:[1]
