Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring $true
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im MBAMService.exe
- '<SYSTEM32>\taskkill.exe' /f /im "Malwarebytes Service"
- '<SYSTEM32>\netsh.exe' advfirewall set allprofiles state off
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\4ce7.tmp\4ce8.tmp\4ce9.bat
Сетевая активность
UDP
- 'localhost':54415
- 'localhost':51122
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\4CE7.tmp\4CE8.tmp\4CE9.bat <Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\timeout.exe' /t 15
