Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\ulqfofpcuv
- <SYSTEM32>\tasks\keyalgorithm
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -NoProfile -Command "Add-MpPreference -ExclusionPath '%APPDATA%\IsCompleted\KeyAlgorithm.exe' -Force ; Add-MpPreference -ExclusionPath '%WINDIR%\Microsoft.NET\Framework64\v4...
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\regasm.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\windowspowershell\v1.0\powershell.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\~temp.tmp
- %APPDATA%\iscompleted\keyalgorithm.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\iscompleted\keyalgorithm.exe
Удаляет файлы, которые сам же создал
- <SYSTEM32>\tasks\ulqfofpcuv
Сетевая активность
UDP
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\iscompleted\keyalgorithm.exe'
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -NoProfile -Command "System.Collections.Generic.List`1[System.String]"
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\regasm.exe' (со скрытым окном)
