Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\$77svc32.job
- <SYSTEM32>\tasks\$77svc32
- %WINDIR%\tasks\$77svc64.job
- <SYSTEM32>\tasks\$77svc64
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль advapi32.dll
- Процесс iexplore.exe, модуль advapi32.dll
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOFTWARE').GetValue('$77stager')).EntryPoint.Invoke($Null,$Null)"' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOFTWARE').GetValue('$77stager')).EntryPoint.Invoke($Null,$Null)"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOFTWARE').GetValue('$77stager')).EntryPoint.Invoke($Null,$Null)"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOFTWARE').GetValue('$77stager')).EntryPoint.Invoke($Null,$Null)"
- '%WINDIR%\syswow64\dllhost.exe' /Processid:{c60454cd-bb27-45cd-bce7-3fb8730d209b}
- '<SYSTEM32>\dllhost.exe' /Processid:{13f4df57-4b0e-48e5-ac6c-fb9bd63db3dc}
