Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'uaQKYlsnA' = '%WINDIR%\Resources\Themes\VYzSLUsDXaphrNmSAypx\svchost.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра::
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '%WINDIR%\Resources\Themes\VYzSLUsDXaphrNmSAypx\svchost.exe' = '00000000'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '<Полный путь к файлу>' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\⒦⒫⒢ⓖⓑ⒬ⓛⓞ⒱⒢ⓧⓖ⒩⒦⒤ⓘⓖ⒧⒙ⓤ⒪⒨⒠⒩⒛\<Имя файла>.exe_url_yt5x5mob0vgwhkgfr5ou2xmqio4okjsn\5.179.751.763\jewlgrpw.newcfg
- %WINDIR%\resources\themes\vyzslusdxaphrnmsaypx\svchost.exe
Перемещает следующие файлы
- %LOCALAPPDATA%\⒦⒫⒢ⓖⓑ⒬ⓛⓞ⒱⒢ⓧⓖ⒩⒦⒤ⓘⓖ⒧⒙ⓤ⒪⒨⒠⒩⒛\<Имя файла>.exe_url_yt5x5mob0vgwhkgfr5ou2xmqio4okjsn\5.179.751.763\jewlgrpw.newcfg в %LOCALAPPDATA%\⒦⒫⒢ⓖⓑ⒬ⓛⓞ⒱⒢ⓧⓖ⒩⒦⒤ⓘⓖ⒧⒙ⓤ⒪⒨⒠⒩⒛\<Имя файла>.exe_url_yt5x5mob0vgwhkgfr5ou2xmqio4okjsn\5.179.751.763\user.config
Сетевая активность
Подключается к
- 'dq####edqedqe.tk':80
TCP
Запросы HTTP GET
- http://dq####edqedqe.tk/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-2E622D683434F703DB090E915AED8CBE.html
- http://dq####edqedqe.tk/liverpool-fc-news/features/steven-gerrard-liverpool-future-dalglish--goal-BC5A3A42A98E19F5C731CB9A10BDAB71.html
UDP
- DNS ASK dq####edqedqe.tk
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%WINDIR%\Resources\Themes\VYzSLUsDXaphrNmSAypx\svchost.exe" -Force' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c timeout 1' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%WINDIR%\Resources\Themes\VYzSLUsDXaphrNmSAypx\svchost.exe" -Force
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force
- '%WINDIR%\syswow64\cmd.exe' /c timeout 1
- '%WINDIR%\syswow64\timeout.exe' 1
