Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
добавляет исключения антивируса с помощью следующих ключей реестра:
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{95F6A174-FE45-448C-B1DF-0D6AF0E38DB5}Machine\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Extensions] 'exe' = ''
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\grouppolicy\gpt.ini
- <SYSTEM32>\grouppolicy\machine\registry.pol
- <SYSTEM32>\grouppolicy\gpt.ini
- %HOMEPATH%\pictures\minor policy\gkmrdhmaulawahts0vnaxt3m.exe
Сетевая активность
Подключается к
- '23.##4.227.214':80
- '23.##4.227.202':80
- '23.##4.227.205':80
- '20#.#7.104.60':80
- 'ip##fo.io':443
- 'x1.#.lencr.org':80
- 'db##p.com':443
- 'ma##ind.com':80
- 'vk.com':80
- 'vk.com':443
TCP
Запросы HTTP GET
- http://23.##4.227.214/cgi-sys/suspendedpage.cgi
- http://23.##4.227.202/api/tracemap.php
- http://x1.#.lencr.org/
- http://www.ma##ind.com/geoip/v2.1/city/me
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?0b##############
Запросы HTTP POST
Другие
- 'ip##fo.io':443
- 'ap#.#b-ip.com':443
- 'vk.com':80
- 'vk.com':443
UDP
- DNS ASK ip##fo.io
- DNS ASK x1.#.lencr.org
- DNS ASK db##p.com
- DNS ASK ap#.#b-ip.com
- DNS ASK ma##ind.com
- DNS ASK vk.com
Другое
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k LocalSystemNetworkRestricted -p -s fhsvc
- '<SYSTEM32>\svchost.exe' -k LocalSystemNetworkRestricted -s WPDBusEnum
