Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
добавляет исключения антивируса с помощью следующих ключей реестра:
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7750B51C-14D2-421E-8A78-6815F0870861}Machine\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Extensions] 'exe' = ''
- [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Extensions] 'exe' = ''
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\grouppolicy\gpt.ini
- <SYSTEM32>\grouppolicy\machine\registry.pol
- %ALLUSERSPROFILE%\ntuser.pol
- %HOMEPATH%\pictures\minor policy\0r7sfukqg8njm7bd9aezmhu2.exe
Сетевая активность
Подключается к
- '94.##2.138.131':80
- 'ap#.#yip.com':443
- 'ip##fo.io':443
- 'vk.com':80
- 'vk.com':443
TCP
Запросы HTTP GET
- http://94.##2.138.131/api/tracemap.php
Другие
- 'ap#.#yip.com':443
- 'ip##fo.io':443
- 'vk.com':80
- 'vk.com':443
UDP
- DNS ASK ap#.#yip.com
- DNS ASK ip##fo.io
- DNS ASK vk.com
Другое
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k secsvcs
- '<SYSTEM32>\raserver.exe' /offerraupdate
