Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\dllhost
- <SYSTEM32>\tasks\lsass
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\microsoft analysis services\dllhost.exe
- %LOCALAPPDATA%\mozilla\lsass.exe
- %TEMP%\7z.dll
- %TEMP%\7z.exe
- %TEMP%\axmstsclib.dll
- %TEMP%\ffmpeg.exe
- %LOCALAPPDATA%\microsoft\windows\actioncentercache\windows-systemtoast-securityandmaintenance_10_0.png
Присваивает атрибут 'скрытый' для следующих файлов
- %ProgramFiles(x86)%\microsoft analysis services\dllhost.exe
- %LOCALAPPDATA%\mozilla\lsass.exe
Сетевая активность
Подключается к
- 'ra#.####ubusercontent.com':443
- 'gi##ub.com':443
- 're#########ets.githubusercontent.com':443
TCP
Другие
- 'ra#.####ubusercontent.com':443
- 'gi##ub.com':443
UDP
- DNS ASK dn#.google
- DNS ASK ra#.####ubusercontent.com
- DNS ASK gi##ub.com
- DNS ASK re#########ets.githubusercontent.com
- 'dn#.google':443
- '18#.#14.96.1':443
- '18#.#14.97.1':443
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\mozilla\lsass.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' (со скрытым окном)
- '<SYSTEM32>\svchost.exe' -k LocalSystemNetworkRestricted -p -s UmRdpService
- '%WINDIR%\syswow64\reagentc.exe' /disable
