Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -NoProfile -Command "Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\MyApp'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -NoProfile -Command "Add-MpPreference -ExclusionProcess '%LOCALAPPDATA%\MyApp\installer.exe'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -NoProfile -Command "Add-MpPreference -ExclusionProcess '%LOCALAPPDATA%\MyApp\defendnot.dll'"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\soso.exe
Сетевая активность
Подключается к
- 'xa##nak.ru':80
TCP
Запросы HTTP GET
- http://xa##nak.ru/build.exe
UDP
- DNS ASK xa##nak.ru
Другое
Создает и запускает на исполнение
- '%TEMP%\soso.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell.exe -WindowStyle Hidden -NoProfile -Command "Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\MyApp'"
- '<SYSTEM32>\cmd.exe' /c powershell.exe -WindowStyle Hidden -NoProfile -Command "Add-MpPreference -ExclusionProcess '%LOCALAPPDATA%\MyApp\installer.exe'"
- '<SYSTEM32>\cmd.exe' /c powershell.exe -WindowStyle Hidden -NoProfile -Command "Add-MpPreference -ExclusionProcess '%LOCALAPPDATA%\MyApp\defendnot.dll'"
