Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\qeczylg2fpithvybwkii7c5f.bat
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
добавляет исключения антивируса с помощью следующих ключей реестра:
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows Defender\Exclusions\Paths] '<Полный путь к файлу>' = '00000000'
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<Имя файла>.exe.log
- %LOCALAPPDATA%\oeluafvxjl4rli3aumsmgz34.exe
- %HOMEPATH%\pictures\ujecnixykqegnvi8fbv6aj38.exe
Сетевая активность
Подключается к
- 'pa###bin.com':443
- 'yi#.su':443
TCP
Другие
- 'pa###bin.com':443
- 'yi#.su':443
UDP
- DNS ASK pa###bin.com
- DNS ASK yi#.su
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force (со скрытым окном)
