Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '%HOMEPATH%\c3'"
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\c3\go.bat
- nul
- %HOMEPATH%\c3\z2aqzlx37f.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\c3\go.bat
- %HOMEPATH%\c3\z2aqzlx37f.bat
Сетевая активность
Подключается к
- '17#.#78.173.103':80
- 'gi##ub.com':443
- 'ob#####.#ithubusercontent.com':443
TCP
Запросы HTTP GET
- http://17#.#78.173.103/go.bat
- http://17#.#78.173.103/c.bat
Другие
- 'gi##ub.com':443
- 'ob#####.#ithubusercontent.com':443
UDP
- DNS ASK au##.c3pool.org
- DNS ASK gi##ub.com
- DNS ASK ob#####.#ithubusercontent.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c %HOMEPATH%\c3\go.bat
- '<SYSTEM32>\sc.exe' stop XLServicePlatform
- '<SYSTEM32>\sc.exe' delete XLServicePlatform
- '<SYSTEM32>\cmd.exe' /c %HOMEPATH%\c3\z2AqzLx37F.bat
- '<SYSTEM32>\attrib.exe' +h +s "%HOMEPATH%\c3\go.bat"
- '<SYSTEM32>\attrib.exe' +h +s "%HOMEPATH%\c3\z2AqzLx37F.bat"
- '<SYSTEM32>\icacls.exe' %HOMEPATH%\c3\ /deny Everyone:(RX)
- '<SYSTEM32>\attrib.exe' +h +s "%HOMEPATH%\c3\."
