Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -ExecutionPolicy Bypass -Command Add-MpPreference -ExclusionPath $env:USERPROFILE
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\crypto\rsa\s-1-5-21-3691498038-2086406363-2140527554-1000\83aa4cc77f591dfc2374580bbd95f6ba_0cb67e2f-dc95-45ca-8fb8-69bde8e3f814
- %TEMP%\aac0d205c81d3acdce77911f4f089656.bat
- %TEMP%\stockgoal.zip
- %TEMP%\stockgoal\stockgoal.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://19#.#6.38.73/snipp/stockgoal.zip
Другое
Создает и запускает на исполнение
- '%TEMP%\stockgoal\stockgoal.exe'
Запускает на исполнение
- '%ProgramFiles%\java\jre1.8.0_45\bin\javaw.exe' -Dfile.encoding=UTF-8 -classpath "<Полный путь к файлу>" org.develnext.jphp.ext.javafx.FXLauncher
- '<SYSTEM32>\cmd.exe' /c %TEMP%\aac0d205c81d3acdce77911f4f089656.bat
- '%WINDIR%\explorer.exe' %TEMP%\stockgoal\stockgoal.exe
- '%TEMP%\stockgoal\stockgoal.exe' (со скрытым окном)
