Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\west.txt
- <SYSTEM32>\windowspowershell\v1.0\bofbq.exe
- <SYSTEM32>\ime\imekr\win.ini
- <SYSTEM32>\windowspowershell\v1.0\bkxxh.exe
Удаляет файлы, которые сам же создал
- <SYSTEM32>\windowspowershell\v1.0\bofbq.exe
Сетевая активность
Подключается к
- 'ge###iles.to':443
TCP
Другие
- 'ge###iles.to':443
UDP
- DNS ASK ge###iles.to
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\bofbq.exe'
- '<SYSTEM32>\windowspowershell\v1.0\bkxxh.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C sc stop iqvw64e.sys (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C sc delete iqvw64e.sys (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cls
- '<SYSTEM32>\sc.exe' stop iqvw64e.sys
- '<SYSTEM32>\sc.exe' delete iqvw64e.sys
