Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\TaskKill] 'Start' = '00000000'
- [<HKLM>\System\CurrentControlSet\Services\TaskKill] 'ImagePath' = '%TEMP%\Иисус.sys'
Создает следующие сервисы
- 'TaskKill' %TEMP%\Иисус.sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\иисус.sys
Сетевая активность
Подключается к
- '77.#3.134.2':24200
TCP
Другие
- '77.#3.134.2':24200
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force
- '%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe'
