Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'svchost.exe' = '%APPDATA%\svchost.exe.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\update store.lnk
- <SYSTEM32>\tasks\svchost.exe-8593
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\svchost.exe.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\svchost.exe.exe
Сетевая активность
Подключается к
- '62.#0.227.2':5463
- 'ip##pi.com':80
- '62.#0.227.2':5460
- '62.#0.227.2':5461
TCP
Запросы HTTP GET
- http://ip##pi.com/json/
Другие
- '62.#0.227.2':5463
- '62.#0.227.2':5460
- '62.#0.227.2':5461
UDP
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command " $action = New-ScheduledTaskAction -Execute '%APPDATA%\svchost.exe.exe' $t...
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' powershell -C "Add-MpPreference -ExclusionExtension '.exe' -EA 0" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command " $action = New-ScheduledTaskAction -Execute '%APPDATA%\svchost.exe.exe' $t... (со скрытым окном)
