Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'JavaInvoker' = '"%APPDATA%\.NET\dotnet.exe" /startup'
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\.net\config.ini
- %APPDATA%\.net\dotnet.exe
- %APPDATA%\.net\tor.zip
- %APPDATA%\.net\tor\libeay32.dll
- %APPDATA%\.net\tor\libevent-2-1-6.dll
- %APPDATA%\.net\tor\libevent_core-2-1-6.dll
- %APPDATA%\.net\tor\libevent_extra-2-1-6.dll
- %APPDATA%\.net\tor\libgcc_s_sjlj-1.dll
- %APPDATA%\.net\tor\libssp-0.dll
- %APPDATA%\.net\tor\libwinpthread-1.dll
- %APPDATA%\.net\tor\ssleay32.dll
- %APPDATA%\.net\tor\tor-gencert.exe
- %APPDATA%\.net\tor\tor.exe
- %APPDATA%\.net\tor\zlib1.dll
Удаляет следующие файлы
- %APPDATA%\.net\tor.zip
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "$Action = New-ScheduledTaskAction -Execute '%APPDATA%\.NET\dotnet.exe' -Argument '/persistence' -WorkingDirectory '%APPDATA%\.NET\'; $Trigger = New-ScheduledTaskTrigger -Once -At (Get...
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "$Action = New-ScheduledTaskAction -Execute '%APPDATA%\.NET\dotnet.exe' -Argument '/persistence' -WorkingDirectory '%APPDATA%\.NET\'; $Trigger = New-ScheduledTaskTrigger -Once -At (Get...' (со скрытым окном)
