Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\cleansweepcheck
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Сетевая активность
Подключается к
- '18#.#2.250.236':5552
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /delete /tn CleanSweepCheck /f (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 1 /tn CleanSweepCheck /tr <Полный путь к файлу> (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c reg ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- '<SYSTEM32>\taskeng.exe' {D8A3DA02-4EC9-4750-AA89-963ED41C6414} S-1-5-21-3691498038-2086406363-2140527554-1000:qdcuuwblcwy\user:Interactive:[1]
- '<Полный путь к файлу>' (со скрытым окном)
