Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Eleven' = '%WINDIR%\SysWOW64\Eleven.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows update
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
- Системный антивирус (Защитник Windows)
изменяет следующие системные настройки:
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoControlPanel' = '00000001'
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'DisallowRun' = '00000001'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmp6216.tmp
- %WINDIR%\syswow64\<Имя файла>.exe
Изменяет следующие файлы
- %APPDATA%\microsoft\windows\themes\transcodedwallpaper
- %APPDATA%\microsoft\windows\themes\cachedfiles\cachedimage_1152_864_pos2.jpg
Сетевая активность
Подключается к
- 'ra#.####ubusercontent.com':443
- 'ip##pi.com':80
- 'di##ord.com':443
TCP
Запросы HTTP GET
- http://ip##pi.com/json
Другие
- 'ra#.####ubusercontent.com':443
- 'di##ord.com':443
UDP
- DNS ASK ra#.####ubusercontent.com
- DNS ASK ip##pi.com
- DNS ASK di##ord.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "Windows Update" /tr "%WINDIR%\SysWOW64\Eleven.exe" /sc MINUTE /mo 1 /ru SYSTEM /f /rl HIGHEST (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\wbem\wmic.exe' path win32_VideoController get name
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Get-MpPreference -verbose
