Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath 'C:\Users\Public\Documents\MM'"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '<Полный путь к файлу>'"
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\shell.txt
- C:\users\public\documents\mm\svchos1.exe
Сетевая активность
Подключается к
- 'fs######fu.7moor-fs1.com':443
- 'cr#.###st-provider.cn':80
TCP
Запросы HTTP GET
- http://oc##.##ust-provider.cn/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQIzuhSh8YGNy3SuMUAiCzbrW1YlAQUQDAii40qMin4ECENAGNeRdMs4CUCEHjR9DRRVqEwZIfnrWPIx%2Bw%3D
- http://cr#.###st-provider.cn/TrustAsiaRSAOVTLSCAG3.crl
Другие
- 'fs######fu.7moor-fs1.com':443
UDP
- DNS ASK fs######fu.7moor-fs1.com
- DNS ASK oc##.##ust-provider.cn
- DNS ASK cr#.###st-provider.cn
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c md C:\Users\Public\Documents\MM (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Query /TN MM
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath 'C:\Users\Public\Documents\MM'" (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '<Полный путь к файлу>'" (со скрытым окном)
