Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'StartValue' = '%ALLUSERSPROFILE%\creamapi\uuid-gen.exe {45D1074F-338B-4A17-BF44-57F1712A9668}'
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'StartValue' = '%ALLUSERSPROFILE%\creamapi\uuid-gen.exe {45D1074F-338B-4A17-BF44-57F1712A9668}'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\{bd85175f-0480-44af-bbd9-669afbeb6e7a}.lnk
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\pld83d2.tmp.exe
- %ALLUSERSPROFILE%\creamapi\uuid-gen.exe
- %ALLUSERSPROFILE%\{ef651f34-bde8-4bfe-a038-74b1711d5a07}\{55a44bac-9100-45a2-ac70-8feac653dcc7}.bat
Удаляет файлы, которые сам же создал
- %TEMP%\pld83d2.tmp.exe
Сетевая активность
Подключается к
- '94.##4.32.81':50002
TCP
Другие
- '94.##4.32.81':50002
Другое
Создает и запускает на исполнение
- '%TEMP%\pld83d2.tmp.exe'
- '%ALLUSERSPROFILE%\creamapi\uuid-gen.exe' {8536DE9E-E51D-4413-9C5B-6214EA1DD040}
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell.exe Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%' (со скрытым окном)
- '%WINDIR%\explorer.exe' (со скрытым окном)
