Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Внедряет код в
следующие пользовательские процессы:
- setup.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\darkspyloader.exe
- %TEMP%\rarsfx0\megasyncsetup64.exe
- %TEMP%\rarsfx0\setup.exe
- %TEMP%\aut6b7e.tmp
- %TEMP%\umusixm
- %WINDIR%\temp\aut79a1.tmp
- %WINDIR%\temp\xtjwofe
Удаляет следующие файлы
- %TEMP%\aut6b7e.tmp
- %TEMP%\umusixm
- %WINDIR%\temp\aut79a1.tmp
- %WINDIR%\temp\xtjwofe
Подменяет следующие файлы
- %ALLUSERSPROFILE%\ntuser.pol
- %HOMEPATH%\ntuser.pol
- %ALLUSERSPROFILE%\tempntuser.pol
Сетевая активность
Подключается к
- 'ga###abpro.club':80
TCP
Запросы HTTP POST
- http://ga###abpro.club/
UDP
- DNS ASK ga###abpro.club
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\darkspyloader.exe' /D
- '%TEMP%\rarsfx0\darkspyloader.exe' /SYS 1
- '%TEMP%\rarsfx0\setup.exe'
Запускает на исполнение
- '<SYSTEM32>\gpscript.exe' /RefreshSystemParam
- '<SYSTEM32>\svchost.exe' -k secsvcs
- '<SYSTEM32>\raserver.exe' /offerraupdate
