Техническая информация
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к файлу>' = '<Полный путь к файлу>:*:Enabled:ipsec'
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\a679b\RuntimeBroker.exe' = '%TEMP%\a679b\RuntimeBroker.exe:*:...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\garclnneop.gpg
- %TEMP%\a679b\svcd.exe
- %TEMP%\a679b\config.json
- %TEMP%\a679b\runtimebroker.exe
Удаляет следующие файлы
- %TEMP%\a679b\svcd.exe
- %TEMP%\a679b\config.json
Подменяет следующие файлы
- %TEMP%\a679b\config.json
Сетевая активность
Подключается к
- 'la###verdi.cz':80
- '18#.#06.95.7':995
TCP
Запросы HTTP GET
- http://la###verdi.cz/bottom.png
Другие
- '18#.#06.95.7':995
UDP
- DNS ASK la###verdi.cz
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\a679b\svcd.exe' -s, -s1, -s2
- '%TEMP%\a679b\runtimebroker.exe'
Запускает на исполнение
- '%TEMP%\a679b\svcd.exe' -s, -s1, -s2 (со скрытым окном)
- '%TEMP%\a679b\runtimebroker.exe' (со скрытым окном)
