Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\Microsoft\Windows\vspkgsrv.exe"
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\vspkgsrv.exe
- %LOCALAPPDATA%\hyper-v.ver
- %TEMP%\xas.0
- %TEMP%\xas.0-shm
- %TEMP%\xas.1
- %TEMP%\xas.2
- %TEMP%\xas.3
- %TEMP%\xas.4
Сетевая активность
Подключается к
- 'cm#####iwwksmcsw.xyz':443
TCP
Запросы HTTP GET
Запросы HTTP POST
- http://cm######wwksmcsw.xyz:443/api/client/new via cm#####iwwksmcsw.xyz
- http://cm######wwksmcsw.xyz:443/tasks/get_worker via cm#####iwwksmcsw.xyz
UDP
- DNS ASK ma#####maacckuow.xyz
- DNS ASK ye#####aewokgioa.xyz
- DNS ASK cm#####iwwksmcsw.xyz
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\systeminfo.exe'
