Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\hedpytrt
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\PROCMON24] 'ImagePath' = '%TEMP%\tceszlfjnmmu.sys'
Создает следующие сервисы
- 'PROCMON24' %TEMP%\tceszlfjnmmu.sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension '.exe' -Force
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\oerjkfqlgdau\pylojxlaxtra.exe
- %TEMP%\tceszlfjnmmu.sys
Сетевая активность
Подключается к
- 'localhost':9050
TCP
Другие
- 'localhost':9050
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\oerjkfqlgdau\pylojxlaxtra.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c wusa /uninstall /kb:890830 /quiet /norestart
- '<SYSTEM32>\schtasks.exe' /delete /f /tn "HEDPYTRT"
- '<SYSTEM32>\wusa.exe' /uninstall /kb:890830 /quiet /norestart
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /rl highest /tn "HEDPYTRT" /tr "\"%ALLUSERSPROFILE%\oerjkfqlgdau\pylojxlaxtra.exe\""
- '<SYSTEM32>\schtasks.exe' /run /tn "HEDPYTRT"
- '<SYSTEM32>\cmd.exe' /c choice /C Y /N /D Y /T 3 & Del "<Полный путь к файлу>"
- '<SYSTEM32>\choice.exe' /C Y /N /D Y /T 3
- '%WINDIR%\explorer.exe'
