Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command "Add-MpPreference -ExclusionExtension .exe;Add-MpPreference -ExclusionPath 'C:\'"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\3630e18a-e734-4e72-bf4f-e496cca305ce.exe
Сетевая активность
Подключается к
- 'br####n.duckdns.org':80
TCP
Запросы HTTP GET
- http://br####n.duckdns.org/byte/@sect0id1.txt
UDP
- DNS ASK br####n.duckdns.org
Другое
Создает и запускает на исполнение
- '%TEMP%\3630e18a-e734-4e72-bf4f-e496cca305ce.exe'
- '%WINDIR%\syswow64\reg.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command "Add-MpPreference -ExclusionExtension .exe;Add-MpPreference -ExclusionPath 'C:\'"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\reg.exe'
