Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\svchost
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%APPDATA%\Microsoft\Libs\WR64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %APPDATA%\Microsoft\Libs\WR64.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\thx.exe
- %WINDIR%\svchost.exe
Сетевая активность
UDP
- DNS ASK po##.#ashvault.pro
Другое
Создает и запускает на исполнение
- '%TEMP%\thx.exe'
- '%WINDIR%\svchost.exe'
- '<SYSTEM32>\microsoft\libs\sihost64.exe'
- '<SYSTEM32>\microsoft\libs\sihost64.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c powershell -Command "Add-MpPreference -ExclusionPath @($env:UserProfile,$env:AppData,$env:Temp,$env:SystemRoot,$env:HomeDrive,$env:SystemDrive) -Force" & powershell -Command "Add-MpPreferenc...
- '%WINDIR%\syswow64\cmd.exe' /c start "" "%TEMP%\THX.exe"
- '%WINDIR%\syswow64\cmd.exe' /c start "" "%WINDIR%\svchost.exe"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath @($env:UserProfile,$env:AppData,$env:Temp,$env:SystemRoot,$env:HomeDrive,$env:SystemDrive) -Force"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionExtension @('exe','dll') -Force"
