Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run] 'ARP Manager' = '%ProgramFiles(x86)%\ARP Manager\arpmgr.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\znenragwprv
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%APPDATA%\ZNenRaGwPRv.exe"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\znenragwprv.exe
- %TEMP%\tmp5fd4.tmp
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<Имя файла>.exe.log
- %APPDATA%\2db030ff-16d4-42cb-bc6b-63fdb8a51c17\run.dat
- %ProgramFiles(x86)%\arp manager\arpmgr.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\znenragwprv.exe
Сетевая активность
Подключается к
- '19#.5.98.28':5541
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%APPDATA%\ZNenRaGwPRv.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\ZNenRaGwPRv" /XML "%TEMP%\tmp5FD4.tmp"' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\ZNenRaGwPRv" /XML "%TEMP%\tmp5FD4.tmp"
