Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im MsMpEng.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- nul
Самоудаляется.
Сетевая активность
Подключается к
- 'localhost':9050
UDP
- DNS ASK FA#####R.dns.canmode.cc
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im MsMpEng.exe >nul 2>&1
- '<SYSTEM32>\cmd.exe' /c reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f >nul 2>&1
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
- '<SYSTEM32>\notepad.exe'
- '<SYSTEM32>\cmd.exe' /c timeout 3 >nul && del /f /q "<Полный путь к файлу>"
- '<SYSTEM32>\timeout.exe' 3
