Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\axdhtvhx] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\axdhtvhx] 'ImagePath' = '<Полный путь к файлу>'
Создает следующие сервисы
- '<Имя файла>' <Полный путь к файлу>
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath "%ALLUSERSPROFILE%", "<Текущая директория>"
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\icon.db
- %WINDIR%\temp\__psscriptpolicytest_3h2gnvnj.rwf.ps1
- %WINDIR%\temp\__psscriptpolicytest_pvpfehmg.0ri.psm1
- %WINDIR%\temp\__psscriptpolicytest_vs5eldwx.wyl.ps1
- %WINDIR%\temp\__psscriptpolicytest_1bscerdb.uxv.psm1
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\powershell\startupprofiledata-noninteractive
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\icon.db
Удаляет файлы, которые сам же создал
- %WINDIR%\temp\__psscriptpolicytest_3h2gnvnj.rwf.ps1
- %WINDIR%\temp\__psscriptpolicytest_pvpfehmg.0ri.psm1
- %WINDIR%\temp\__psscriptpolicytest_vs5eldwx.wyl.ps1
- %WINDIR%\temp\__psscriptpolicytest_1bscerdb.uxv.psm1
Сетевая активность
UDP
- DNS ASK tr.###studios.work
- DNS ASK ns###udios.work
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath "%ALLUSERSPROFILE%", "<Текущая директория>" (со скрытым окном)
