Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Компонент восстановления системы (SR)
удаляет теневые копии разделов.
Изменения в файловой системе
Создает следующие файлы
- C:\temp\log.txt
- C:\temp\screenshot.png
Сетевая активность
Подключается к
- 'ip##pi.com':80
- 'di##ord.com':443
TCP
Запросы HTTP GET
- http://ip##pi.com/json/
Другие
- 'di##ord.com':443
UDP
- DNS ASK ip##pi.com
- DNS ASK di##ord.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c mkdir C:\temp
- '<SYSTEM32>\cmd.exe' /c bcdedit /set {current} recoveryenabled No (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c bcdedit /set {current} bootstatuspolicy IgnoreAllFailures (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c vssadmin delete shadows /all /quiet (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c wmic shadowcopy delete (со скрытым окном)
- '<SYSTEM32>\bcdedit.exe' /set {current} bootstatuspolicy IgnoreAllFailures
