Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\services\ModuleDesktopDefender\Parameters] 'ServiceDll' = '<SYSTEM32>\ModuleDesktopDefender.dll'
- [HKLM\System\CurrentControlSet\Services\ModuleDesktopDefender] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\ModuleDesktopDefender] 'ImagePath' = '<SYSTEM32>\svchost.exe -k ModuleDesktopDefender'
Создает следующие сервисы
- 'ModuleDesktopDefender' <SYSTEM32>\svchost.exe -k ModuleDesktopDefender
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "<SYSTEM32>"
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\moduledesktopdefender.dll
- %WINDIR%\mwbpmtzixic.bin
Сетевая активность
Подключается к
- 'gr###fy.link':443
TCP
Другие
- 'gr###fy.link':443
UDP
- DNS ASK gr###fy.link
Другое
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k ModuleDesktopDefender
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "<SYSTEM32>" (со скрытым окном)
