Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
добавляет исключения антивируса с помощью следующих ключей реестра:
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{5ACC6BBA-648E-4D8E-AAD7-E3D42ECB094C}Machine\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Extensions] 'exe' = ''
- [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Extensions] 'exe' = ''
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\grouppolicy\gpt.ini
- <SYSTEM32>\grouppolicy\machine\registry.pol
- %ALLUSERSPROFILE%\ntuser.pol
Сетевая активность
Подключается к
- '10#.#20.176.203':80
- '14#.#5.47.169':80
TCP
Запросы HTTP GET
- http://10#.#20.176.203/api/crazyfish.php
Другое
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k secsvcs
- '<SYSTEM32>\raserver.exe' /offerraupdate
