Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
блокирует:
- Компонент восстановления системы (SR)
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\c254.tmp\c255.tmp\c256.bat
- nul
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
- %LOCALAPPDATA%\mozilla\firefox\profiles\apc2n9d1.default-release\cache2\entries\4dcacdd154d23ce903bf34716afe0fbdc08801f3
- %TEMP%\c254.tmp\c255.tmp\c256.bat
- <SYSTEM32>\winevt\logs\microsoft-windows-kernel-eventtracing%4admin.evtx
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\C254.tmp\C255.tmp\C256.bat <Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\net.exe' session
- '<SYSTEM32>\net1.exe' session
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- '<SYSTEM32>\attrib.exe' +r +s +h C:\*.* /s /d
- '<SYSTEM32>\bcdedit.exe' /set {default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ControlScript /t REG_SZ /d "\"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\control.bat\"" /f
- '<SYSTEM32>\shutdown.exe' /r /t 5 /c "???????Г©?╡???░ ???╡???╡?╖?░???????╖???Г©???? ?Г§?╡???╡?╖ 5 ???╡????????..."
