Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'StartValue' = '%ALLUSERSPROFILE%\viivd\vivid.exe {BA97940A-C0CC-42A6-9C05-D8CC9758AB6A}'
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'StartValue' = '%ALLUSERSPROFILE%\viivd\vivid.exe {BA97940A-C0CC-42A6-9C05-D8CC9758AB6A}'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\{16ad9426-1526-489e-9cc4-9572b2e80e2b}.lnk
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\vivid\'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\vivid.exe
- %ALLUSERSPROFILE%\viivd\vivid.exe
- %ALLUSERSPROFILE%\{51e6527c-2a11-4cd5-8fc6-88b7a1309055}\{3f643ce9-fed1-4d1c-98d1-12fd44aaadb6}.bat
Удаляет файлы, которые сам же создал
- %LOCALAPPDATA%\vivid.exe
Сетевая активность
UDP
- DNS ASK ab##b.cc
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\vivid.exe'
- '%ALLUSERSPROFILE%\viivd\vivid.exe' {A596D897-EE67-4390-B41C-64054DD2F098}
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell.exe Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\vivid\' (со скрытым окном)
- '%WINDIR%\explorer.exe' (со скрытым окном)
