Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,%APPDATA%\Google\Chrome.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -enc QQBkAGQALQBNAHAAUAByAGUAZgBlAHIAZQBuAGMAZQAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEMAOgBcAFUAcwBlAHIAcwBcAHUAcwBlAHIAXABBAHAAcABEA...
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\google\chrome.exe
Сетевая активность
UDP
- DNS ASK gu##.##neroocean.stream
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "UserInit" /T REG_SZ /D "<SYSTEM32>\userinit.exe,%APPDATA%\Google\Chrome.exe" /F
- '<SYSTEM32>\cmd.exe' cmd /c del /f /q "<Полный путь к файлу>" (со скрытым окном)
