Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Classes\Counsellor\Shell\Open\Command] '' = 'wscript.exe //E:vbscript "%1"'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\lsass.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\upgrader.exe
- %TEMP%\457beb24-71ec-1185-e094-f5a38167d065.bat
- nul
- %WINDIR%\temp\5d02eb234fb7020285b02c67f7b9a6d5.rhh
- %APPDATA%\microsoft\windows\start menu\programs\otleotaueoehiitniaw tools upgrader.rhh
Удаляет следующие файлы
- %TEMP%\upgrader.exe
Сетевая активность
Подключается к
- '16#.#4.97.90':443
- '16#.#4.97.90':1443
Другое
Ищет следующие окна
- ClassName: 'Registry Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\upgrader.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\457beb24-71ec-1185-e094-f5a38167d065.bat" " (со скрытым окном)
- '<SYSTEM32>\timeout.exe' 3
- '<SYSTEM32>\cmd.exe' /c subst I: "%APPDATA%\Microsoft\Windows\Start Menu\Programs"
- '<SYSTEM32>\subst.exe' I: "%APPDATA%\Microsoft\Windows\Start Menu\Programs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online (со скрытым окном)
