Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\CPLs] 'wtsapi64' = '%TEMP%\wtsapi64.dll'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\wtsapi64
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath '%TEMP%\wtsapi64.dll'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\wtsapi64.dll
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\wtsapi64.dll
Сетевая активность
Подключается к
- 'ip##pi.com':80
TCP
Запросы HTTP GET
- http://ip##pi.com/line/?fi############
UDP
- DNS ASK ip##pi.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /f /tn "wtsapi64" /sc minute /mo 1 /tr "rundll32.exe \"%TEMP%\wtsapi64.dll\",cpi3OvW" (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /run /tn "wtsapi64" (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {A6BA343B-B25C-472C-A267-2FE3F74EC0B5} S-1-5-21-3691498038-2086406363-2140527554-1000:icfqnetwr\user:Interactive:[1]
- '<SYSTEM32>\rundll32.exe' "%TEMP%\wtsapi64.dll",cpi3OvW (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath '%TEMP%\wtsapi64.dll' (со скрытым окном)
