Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\wmiprvse
- <SYSTEM32>\tasks\svchost
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\windows sidebar\wmiprvse.exe
- %LOCALAPPDATA%\connecteddevicesplatform\svchost.exe
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\f686aace6942fb7f7ceb231212eef4a4_8cf7b530-613e-439b-a8c5-ccfc0e745400
- %LOCALAPPDATA%\microsoft\windows\actioncentercache\windows-systemtoast-securityandmaintenance_10_0.png
Присваивает атрибут 'скрытый' для следующих файлов
- %ProgramFiles(x86)%\windows sidebar\wmiprvse.exe
- %LOCALAPPDATA%\connecteddevicesplatform\svchost.exe
Сетевая активность
Подключается к
- 'gi##ub.com':443
TCP
Другие
- 'gi##ub.com':443
UDP
- DNS ASK dn#.google
- DNS ASK gi##ub.com
- 'dn#.google':443
- '10#.21.48.1':443
- '10#.21.16.1':443
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\connecteddevicesplatform\svchost.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' (со скрытым окном)
- '%WINDIR%\syswow64\reagentc.exe' /disable
