Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
изменяет следующие системные настройки:
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoControlPanel' = '00000001'
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath 'C:\'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath 'D:\'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath '<Имя диска съемного носителя>:\'"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aa33.tmp\aa34.tmp\aa35.bat
- nul
- %TEMP%\taskmanagerhost.txt
- %TEMP%\new.jsom
- %WINDIR%\mediaplayer\system.dll
- %WINDIR%\mediaplayer\windows.dll
- %WINDIR%\mediaplayer\bootdebuggerfiles.ini
- %WINDIR%\mediaplayer\bootvhd.dll
Изменяет файл HOSTS.
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\AA33.tmp\AA34.tmp\AA35.bat <Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\ping.exe' 8.#.8.8 -n 1
- '<SYSTEM32>\net.exe' session
- '<SYSTEM32>\net1.exe' session
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoControlPanel" /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoControlPanelNamespace" /t REG_DWORD /d 1 /f
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Disable-ComputerRestore -Drive 'C:'; Enable-ComputerRestore -Drive 'C:'"
- '<SYSTEM32>\reagentc.exe' /disable
- '<SYSTEM32>\attrib.exe' +h MediaPlayer
