Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'SecurityHealthSystray.exe' = '<Полный путь к файлу>'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'System' = 'C:\MSYS\<Имя файла>.exe'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'System' = 'D:\MSYS\<Имя файла>.exe'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'System' = '<Имя диска съемного носителя>:\MSYS\<Имя файла>.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\msys\<Имя файла>.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "-windowstyle hidden" -Command Add-MpPreference -ExclusionPath <Полный путь к файлу>
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name=OpenPort53401 dir=in action=allow protocol=UDP localport=53401
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name=OpenPort53396 dir=in action=allow protocol=UDP localport=53396
Изменения в файловой системе
Создает следующие файлы
- C:\msys\<Имя файла>.exe
- D:\msys\<Имя файла>.exe
- nul
Сетевая активность
UDP
- '<LOCALNET>..53.1':5351
- '23#.#55.255.250':1900
- '17#.#53.46.239':4001
- '22#.0.0.251':5353
- 'ff##::fb':5353
Другое
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "<Полный путь к файлу>"
