Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] '10dthgpu' = '%APPDATA%\10dthgpu.exe'
- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] '10dthgpu' = '%APPDATA%\10dthgpu.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\explorer
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%APPDATA%\10dthgpu.exe"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\runtimebroker.exe
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\playit.exe
- <SYSTEM32>\mrabdallh.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %APPDATA%\10dthgpu.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\mrabdallh.exe.log
- %TEMP%\explorer.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\10dthgpu.exe
Сетевая активность
Подключается к
- 'ap#.#layit.gg':443
- '14#.#85.221.180':30787
TCP
Другие
- 'ap#.#layit.gg':443
UDP
- DNS ASK ap#.#layit.gg
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\playit.exe'
- '<SYSTEM32>\mrabdallh.exe'
- '%TEMP%\explorer.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /f /sc minute /mo 1 /tn "Explorer" /tr "%TEMP%\Explorer.EXE" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%APPDATA%\10dthgpu.exe" (со скрытым окном)
