Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\Microsoft\Windows\hyper-v.exe"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\hyper-v.exe
- %LOCALAPPDATA%\hyper-v.ver
Сетевая активность
Подключается к
- 'sc#####oswaguuyo.xyz':1775
- 'sk#####ouussusyi.xyz':1775
- 'ua#####meqmwemas.xyz':1775
TCP
Запросы HTTP GET
- http://ua######eqmwemas.xyz:1775/avast_update via ua#####meqmwemas.xyz
- http://ua######eqmwemas.xyz:1775/api/client_hello via ua#####meqmwemas.xyz
UDP
- DNS ASK iq#####uasswcmca.xyz
- DNS ASK kg#####qeacwaccu.xyz
- DNS ASK ug#####giimgmaaw.xyz
- DNS ASK km#####yqiwkeeci.xyz
- DNS ASK sc#####oswaguuyo.xyz
- DNS ASK sk#####ouussusyi.xyz
- DNS ASK ua#####meqmwemas.xyz
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\systeminfo.exe'
