Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\services\RemoteDesktopDownload\Parameters] 'ServiceDll' = '<SYSTEM32>\RemoteDesktopDownload.dll'
- [HKLM\System\CurrentControlSet\Services\RemoteDesktopDownload] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\RemoteDesktopDownload] 'ImagePath' = '<SYSTEM32>\svchost.exe -k RemoteDesktopDownload'
Создает следующие сервисы
- 'RemoteDesktopDownload' <SYSTEM32>\svchost.exe -k RemoteDesktopDownload
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "<SYSTEM32>"
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\remotedesktopdownload.dll
- %WINDIR%\cmsyfqq.bin
Сетевая активность
Подключается к
- 'gr###fy.link':443
TCP
Другие
- 'gr###fy.link':443
UDP
- DNS ASK gr###fy.link
Другое
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k RemoteDesktopDownload
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "<SYSTEM32>" (со скрытым окном)
