Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WinDefend] 'Start' = '00000002'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\restore_av.bat
- %TEMP%\sysdata_56eb5c83a3704d8aad2fcc0781869ef1\screen.jpg
- %TEMP%\sysdata_56eb5c83a3704d8aad2fcc0781869ef1\sysinfo.txt
- <PATH_SAMPLE>.bat
- nul
Удаляет следующие файлы
- %TEMP%\sysdata_56eb5c83a3704d8aad2fcc0781869ef1\screen.jpg
- %TEMP%\sysdata_56eb5c83a3704d8aad2fcc0781869ef1\sysinfo.txt
Самоудаляется.
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK ap#.##legram.org
Другое
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k secsvcs
- '<SYSTEM32>\cmd.exe' /C "<PATH_SAMPLE>.bat" & exit (со скрытым окном)
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\timeout.exe' /t 3 /nobreak
