Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\wpeydql] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\wpeydql] 'ImagePath' = '<Полный путь к файлу>'
Создает следующие сервисы
- '<Имя файла>' <Полный путь к файлу>
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath "%ALLUSERSPROFILE%", "<Текущая директория>"
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\icon.db
- %ALLUSERSPROFILE%\chrome_proxy.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\icon.db
Сетевая активность
Подключается к
- 'tr.###studios.work':8080
- 'ns###udios.work':443
TCP
Другие
- 'tr.###studios.work':8080
- 'ns###udios.work':443
UDP
- DNS ASK tr.###studios.work
- DNS ASK ns###udios.work
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\chrome_proxy.exe' --base_url="https://nslstudios.work" --operation=0 --website="https://www.google.com"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath "%ALLUSERSPROFILE%", "<Текущая директория>"' (со скрытым окном)
Перезапускает анализируемый образец
