Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] '煍煍煙焝焠煌焛無煎焛煍焝焮焯煍' = '%WINDIR%\Microsoft.NET\Framework\भࣣगखतࣥकࣣࣻ࣪ࣤࣸघࣧभ\svchost.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\microsoft.net\framework\भࣣगखतࣥकࣣࣻ࣪ࣤࣸघࣧभ\svchost.exe
Сетевая активность
Подключается к
- 'cd#.##scordapp.com':443
- 'ch####p.dyndns.org':80
- 'fr###eoip.app':443
TCP
Запросы HTTP GET
- http://ch####p.dyndns.org/
Другие
- 'cd#.##scordapp.com':443
- 'fr###eoip.app':443
UDP
- DNS ASK cd#.##scordapp.com
- DNS ASK ch####p.dyndns.org
- DNS ASK fr###eoip.app
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%WINDIR%\Microsoft.NET\Framework\भࣣगखतࣥकࣣࣻ࣪ࣤࣸघࣧभ\svchost.exe" -Force
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%WINDIR%\Microsoft.NET\Framework\भࣣगखतࣥकࣣࣻ࣪ࣤࣸघࣧभ\svchost.exe" -Force' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%WINDIR%\Microsoft.NET\Framework\भࣣगखतࣥकࣣࣻ࣪ࣤࣸघࣧभ\svchost.exe" -Force
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force
