Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\googleupdatetaskmachineqc
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '<SYSTEM32>\config\systemprofile\AppData\Roaming\Google\Libs\WR64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' <SYSTEM32>\config\systemprofile\AppData\Roaming\Google\Libs\WR64.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\extrarar.exe
- %TEMP%\pw.txt
- %TEMP%\rar.rar
- %TEMP%\go.bat
- nul
- %TEMP%\chromekey.exe
- %TEMP%\installer.exe
Удаляет следующие файлы
- %TEMP%\go.bat
- %TEMP%\extrarar.exe
- %TEMP%\pw.txt
- %TEMP%\rar.rar
Сетевая активность
UDP
- DNS ASK xm#.#miners.com
- DNS ASK pa###bin.com
Другое
Создает и запускает на исполнение
- '%TEMP%\extrarar.exe' x -o+ rar.rar -pna^C#a$lf38bSa1Rty*c0Ho#XmDRdK8tRWP6!PH%6E1Gzksd&x
- '%TEMP%\chromekey.exe'
- '%TEMP%\installer.exe'
- '%ProgramFiles%\google\chrome\updater.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\go.bat" > NUL"' (со скрытым окном)
- '%ProgramFiles%\google\chrome\updater.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\go.bat" > NUL"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\Temp"
