Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Realtek HD Audio Universal Service' = '%APPDATA%\Microsoft\Protect\SecurityHealthSystray.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath %TEMP%\go-memexec-3658776847.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\go-memexec-3658776847.exe
- %APPDATA%\microsoft\protect\securityhealthsystray.exe
- nul
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\go-memexec-3658776847.exe
- %APPDATA%\microsoft\protect\securityhealthsystray.exe
Удаляет файлы, которые сам же создал
- %TEMP%\go-memexec-3658776847.exe
Сетевая активность
Подключается к
- 'ap#.#pify.org':443
- 'ip##pi.com':80
TCP
Запросы HTTP GET
- http://ip##pi.com/line/?fi############
Другие
- 'ap#.#pify.org':443
UDP
- DNS ASK ap#.#pify.org
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- '%TEMP%\go-memexec-3658776847.exe'
Запускает на исполнение
- '<SYSTEM32>\attrib.exe' +h +s %TEMP%\go-memexec-3658776847.exe (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +h +s %APPDATA%\Microsoft\Protect\SecurityHealthSystray.exe
- '<SYSTEM32>\wbem\wmic.exe' csproduct get UUID (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' path win32_VideoController get name (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath %TEMP%\go-memexec-3658776847.exe (со скрытым окном)
