Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '<Текущая директория>\'"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\f0d.tmp\f0e.tmp\f0f.bat
- <Текущая директория>\cygwin1.dll
- <Текущая директория>\quic_initial_www_google_com.bin
- <Текущая директория>\tls_clienthello_www_google_com.bin
- <Текущая директория>\windivert.dll
- <Текущая директория>\windivert64.sys
- <Текущая директория>\winws.exe
- nul
Удаляет следующие файлы
- <Текущая директория>\cygwin1.dll
- <Текущая директория>\quic_initial_www_google_com.bin
- <Текущая директория>\tls_clienthello_www_google_com.bin
- <Текущая директория>\windivert.dll
- <Текущая директория>\windivert64.sys
- <Текущая директория>\winws.exe
- %TEMP%\f0d.tmp\f0e.tmp\f0f.bat
Другое
Создает и запускает на исполнение
- '<Текущая директория>\winws.exe' --wf-tcp=80,443 --wf-udp=443 --filter-udp=443 --hostlist="<Текущая директория>\list-baks.txt" --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic="<Текущая директория>\quic_initial...
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\F0D.tmp\F0E.tmp\F0F.bat <Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Invoke-WebRequest https://raw.githubusercontent.com/BaksVoronov/testingflrplgpreg/refs/heads/main/list-baks.txt -OutFile list-baks.txt"
- '<SYSTEM32>\cmd.exe' /c powershell Invoke-RestMethod api.ipify.org
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Invoke-RestMethod api.ipify.org
