Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
добавляет исключения антивируса с помощью следующих ключей реестра::
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '<Полный путь к файлу>' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\ᨶᨕᩄᨶᨒᨗᨐᨥᨡᨾᨚᩀᩈᩉᨳᨨ᨞_inc\<Имя файла>.exe_url_5pzftz2bnjgwerjfpombllhsbmjlgmrj\1.539.614.450\ndnznmkd.newcfg
Перемещает следующие файлы
- %LOCALAPPDATA%\ᨶᨕᩄᨶᨒᨗᨐᨥᨡᨾᨚᩀᩈᩉᨳᨨ᨞_inc\<Имя файла>.exe_url_5pzftz2bnjgwerjfpombllhsbmjlgmrj\1.539.614.450\ndnznmkd.newcfg в %LOCALAPPDATA%\ᨶᨕᩄᨶᨒᨗᨐᨥᨡᨾᨚᩀᩈᩉᨳᨨ᨞_inc\<Имя файла>.exe_url_5pzftz2bnjgwerjfpombllhsbmjlgmrj\1.539.614.450\user.config
Сетевая активность
Подключается к
- 'li########abestteamoftheworld.com':80
- 'li########abestteamoftheworld.com':443
TCP
Запросы HTTP GET
- http://li########abestteamoftheworld.com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-B33360BCD002EB708A8C55587B2F378A.html
- http://li########abestteamoftheworld.com/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-6AA7B3D5FF273ECD014B27AC7AC3722C.html
UDP
- DNS ASK li########abestteamoftheworld.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c timeout 1' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force
- '%WINDIR%\syswow64\cmd.exe' /c timeout 1
- '%WINDIR%\syswow64\timeout.exe' 1
