Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\toolz.3utilities.com'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\cmd.exe
Патчит код
в динамической библиотеке NTDLL
- Процесс ulqynioj.exe, модуль ntdll.dll
- Процесс chromes.exe, модуль ntdll.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\explorer.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\chromes\chromes.exe
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\chromes\chromes.exe' {4DBEFAA9-B3E9-4B7D-BDAB-80EA8D85C44C}
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell.exe Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\toolz.3utilities.com' (со скрытым окном)
- '%WINDIR%\explorer.exe' (со скрытым окном)
- '<SYSTEM32>\svchost.exe' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' (со скрытым окном)
