Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\goddess\...\goddess and i.exe
- %WINDIR%.exe
- C:\users.exe
- C:\totalcmd.exe
- C:\system volume information.exe
- <Текущая директория>.exe
- C:\recovery.exe
- %ALLUSERSPROFILE%.exe
- D:\$recycle.bin.exe
- C:\program files (x86).exe
- C:\perflogs.exe
- C:\msocache.exe
- C:\far2.exe
- C:\documents and settings.exe
- C:\$recycle.bin.exe
- %HOMEPATH%\desktop\...exe
- %HOMEPATH%\desktop\..exe
- C:\program files.exe
- D:\system volume information.exe
Перемещает следующие файлы
- %WINDIR%\goddess\...\goddess and i.exe в %WINDIR%\alice\...\goddess and i.exe
Подменяет следующие файлы
- %WINDIR%\goddess\...\goddess and i.exe
- %WINDIR%\alice\...\goddess and i.exe
Сетевая активность
UDP
- DNS ASK ro##.love1.club
Другое
Создает и запускает на исполнение
- '%WINDIR%\goddess\...\goddess and i.exe'
- '%WINDIR%\alice\...\goddess and i.exe'
- '%WINDIR%\syswow64\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000001 /f' (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2 /f' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000001 /f
- '%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2 /f
