Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>' = '%HOMEPATH%\<Имя файла>.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath $env:UserProfile
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
- %WINDIR%\microsoft.net\framework\v4.0.30319\ngen.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\cmd.exe
- %WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe
- %WINDIR%\microsoft.net\framework\v4.0.30319\ilasm.exe
- <SYSTEM32>\calc.exe
- %WINDIR%\regedit.exe
следующие пользовательские процессы:
- wmplayer.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\<Имя файла>.exe
Сетевая активность
Подключается к
- '8.##8.15.65':80
TCP
Запросы HTTP GET
- http://8.##8.15.65/servicing/api.php?id##########################################################################################################################################################...
Другое
Запускает на исполнение
- '%ProgramFiles(x86)%\windows media player\wmplayer.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath $env:UserProfile (со скрытым окном)
