Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '<Текущая директория>\'"
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\de7c.tmp\de7d.tmp\de7e.bat
- <Текущая директория>\cygwin1.dll
- <Текущая директория>\quic_initial_www_google_com.bin
- <Текущая директория>\tls_clienthello_www_google_com.bin
- <Текущая директория>\windivert.dll
- <Текущая директория>\windivert64.sys
- <Текущая директория>\winws.exe
Удаляет следующие файлы
- <Текущая директория>\cygwin1.dll
- <Текущая директория>\quic_initial_www_google_com.bin
- <Текущая директория>\tls_clienthello_www_google_com.bin
- <Текущая директория>\windivert.dll
- <Текущая директория>\windivert64.sys
- <Текущая директория>\winws.exe
- %TEMP%\de7c.tmp\de7d.tmp\de7e.bat
Другое
Создает и запускает на исполнение
- '<Текущая директория>\winws.exe' --wf-tcp=80,443 --wf-udp=443 --filter-udp=443 --hostlist="<Текущая директория>\list-baks.txt" --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic="<Текущая директория>\quic_initial...
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\DE7C.tmp\DE7D.tmp\DE7E.bat <Полный путь к файлу>"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Invoke-WebRequest https://raw.githubusercontent.com/BaksVoronov/testingflrplgpreg/refs/heads/main/list-baks.txt -OutFile list-baks.txt"
- '<SYSTEM32>\timeout.exe' /T 1
- '<SYSTEM32>\timeout.exe' /T 5
