Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\sysservice.lnk
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath \"<Текущая директория>\""
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath \"%TEMP%\""
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath \"%TEMP%\IXP000.TMP\""
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\2_sekiro.exe
- %TEMP%\ixp000.tmp\budget.xlsx
- %TEMP%\ixp000.tmp\calc.exe
- %TEMP%\sysservice.exe
Сетевая активность
Подключается к
- '45.##7.53.208':5000
- '45.##7.53.208':6666
- 'localhost':80
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\2_sekiro.exe' budget.xlsx calc.exe
Запускает на исполнение
- '%TEMP%\ixp000.tmp\2_sekiro.exe' budget.xlsx calc.exe (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath \"<Текущая директория>\"" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath \"%TEMP%\"" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath \"%TEMP%\IXP000.TMP\"" (со скрытым окном)
