Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce] 'Explorer' = '%WINDIR%\resources\themes\explorer.exe RO'
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce] 'Svchost' = '%WINDIR%\resources\svchost.exe RO'
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\Schedule] 'Start' = '00000002'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает большое число процессов
Патчит код
в динамической библиотеке NTDLL
- Процесс spoolsv.exe, модуль ntdll.dll
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: 'RegmonClass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\resources\themes\icsys.icn.exe
- <Полный путь к файлу>В
- %TEMP%\_mei40922\vcruntime140.dll
- %TEMP%\_mei40922\_bz2.pyd
- %TEMP%\_mei40922\_ctypes.pyd
- %TEMP%\_mei40922\_decimal.pyd
- %TEMP%\_mei40922\_hashlib.pyd
- %TEMP%\_mei40922\_lzma.pyd
- %TEMP%\_mei40922\_multiprocessing.pyd
- %TEMP%\_mei40922\_queue.pyd
- %TEMP%\_mei40922\_socket.pyd
- %TEMP%\_mei40922\_ssl.pyd
- %TEMP%\_mei40922\base_library.zip
- %TEMP%\_mei40922\libcrypto-1_1.dll
- %TEMP%\_mei40922\libffi-7.dll
- %TEMP%\_mei40922\libssl-1_1.dll
- %TEMP%\_mei40922\pyexpat.pyd
- %TEMP%\_mei40922\python38.dll
- %TEMP%\_mei40922\select.pyd
- %TEMP%\_mei40922\unicodedata.pyd
- %WINDIR%\resources\themes\explorer.exe
- %WINDIR%\resources\spoolsv.exe
- %WINDIR%\resources\svchost.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\resources\themes\explorer.exe
- %WINDIR%\resources\spoolsv.exe
- %WINDIR%\resources\svchost.exe
Другое
Ищет следующие окна
- ClassName: 'File Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: 'Process Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: 'Registry Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '<Полный путь к файлу>В '
- '%WINDIR%\resources\themes\icsys.icn.exe'
- '%WINDIR%\resources\themes\explorer.exe'
- '%WINDIR%\resources\spoolsv.exe' SE
- '%WINDIR%\resources\svchost.exe'
- '%WINDIR%\resources\spoolsv.exe' PR
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "net session" (со скрытым окном)
- '<SYSTEM32>\net.exe' session
- '<SYSTEM32>\net1.exe' session
- '<SYSTEM32>\cmd.exe' /c "wmic path win32_VideoController get name,adapterram /format:list" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic cpu get name,numberofcores,numberoflogicalprocessors /format:list" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic os get caption,version,buildnumber,osarchitecture /format:list" (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' cpu get name,numberofcores,numberoflogicalprocessors /format:list
- '<SYSTEM32>\wbem\wmic.exe' os get caption,version,buildnumber,osarchitecture /format:list
- '<SYSTEM32>\wbem\wmic.exe' path win32_VideoController get name,adapterram /format:list
- '<SYSTEM32>\cmd.exe' /c "wmic bios get version,manufacturer,releasedate,smbiosbiosversion /format:list" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic computersystem get model,manufacturer,systemtype /format:list" (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' bios get version,manufacturer,releasedate,smbiosbiosversion /format:list
- '<SYSTEM32>\wbem\wmic.exe' computersystem get model,manufacturer,systemtype /format:list
- '<SYSTEM32>\cmd.exe' /c "sc query Vgk" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query mDNSResponder" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "bcdedit /enum" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query FaceItService" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query aswMonFlt" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query EasyAntiCheat" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell -Command "if ((Get-CimInstance Win32_USBControllerDevice -ErrorAction SilentlyContinue)) { 'PRESENT' } else { 'NONE' }"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query ESEAClient" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell -Command (Get-NetFirewallProfile).Enabled" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell -Command (Get-MpComputerStatus).RealTimeProtectionEnabled" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query AVGService" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query EasyAntiCheat
- '<SYSTEM32>\sc.exe' query ESEAClient
- '<SYSTEM32>\sc.exe' query Vgk
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "if ((Get-CimInstance Win32_USBControllerDevice -ErrorAction SilentlyContinue)) { 'PRESENT' } else { 'NONE' }"
- '<SYSTEM32>\sc.exe' query mDNSResponder
- '<SYSTEM32>\sc.exe' query FaceItService
- '<SYSTEM32>\sc.exe' query aswMonFlt
- '<SYSTEM32>\bcdedit.exe' /enum
- '<SYSTEM32>\sc.exe' query AVGService
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command (Get-MpComputerStatus).RealTimeProtectionEnabled
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command (Get-NetFirewallProfile).Enabled
- '<SYSTEM32>\cmd.exe' /c "sc query BEService" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query NEACService" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query VSSERV" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query EAAntiCheatService" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query AVG Antivirus" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query BEService
- '<SYSTEM32>\cmd.exe' /c "sc query ACE-BASE" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query ACE-BASE
- '<SYSTEM32>\sc.exe' query EAAntiCheatService
- '<SYSTEM32>\sc.exe' query NEACService
- '<SYSTEM32>\sc.exe' query AVG Antivirus
- '<SYSTEM32>\sc.exe' query VSSERV
- '<SYSTEM32>\cmd.exe' /c "sc query AVGIDSAgent" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query ACE-GAME" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query AVP" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query AVGIDSAgent
- '<SYSTEM32>\sc.exe' query AVP
- '<SYSTEM32>\sc.exe' query ACE-GAME
- '<SYSTEM32>\cmd.exe' /c "sc query McShield" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query AVGSvc" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query AntiCheatExpert" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query McShield
- '<SYSTEM32>\sc.exe' query AVGSvc
- '<SYSTEM32>\sc.exe' query AntiCheatExpert
- '<SYSTEM32>\cmd.exe' /c "sc query NS" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query AVG WatchDog" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic cpu get VirtualizationFirmwareEnabled /format:list" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell -Command "Get-Tpm | Select-Object -Property TpmPresent, TpmEnabled | Format-List"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "bcdedit" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query NS
- '<SYSTEM32>\wbem\wmic.exe' cpu get VirtualizationFirmwareEnabled /format:list
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Get-Tpm | Select-Object -Property TpmPresent, TpmEnabled | Format-List"
- '<SYSTEM32>\sc.exe' query AVG WatchDog
- '<SYSTEM32>\bcdedit.exe'
- '<SYSTEM32>\cmd.exe' /c "sc query ekrn" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "tasklist /FI "IMAGENAME eq avgui.exe"" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query ekrn
- '<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq avgui.exe"
- '<SYSTEM32>\cmd.exe' /c "sc query MBAMService" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query MBAMService
- '<SYSTEM32>\cmd.exe' /c "tasklist /FI "IMAGENAME eq avgsvca.exe"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query MBAMChameleon" (со скрытым окном)
- '<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq avgsvca.exe"
- '<SYSTEM32>\sc.exe' query MBAMChameleon
- '<SYSTEM32>\cmd.exe' /c "sc query MBAMWebProtection" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query MBAMWebProtection
- '<SYSTEM32>\cmd.exe' /c "sc query MBEndpointAgent" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query MBEndpointAgent
- '<SYSTEM32>\cmd.exe' /c "tasklist /FI "IMAGENAME eq avgidsagent.exe"" (со скрытым окном)
- '<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq avgidsagent.exe"
- '<SYSTEM32>\cmd.exe' /c "tasklist /FI "IMAGENAME eq mbam.exe" /FO CSV" (со скрытым окном)
- '<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq mbam.exe" /FO CSV
- '<SYSTEM32>\cmd.exe' /c "tasklist /FI "IMAGENAME eq avgwdsvc.exe"" (со скрытым окном)
- '<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq avgwdsvc.exe"
- '<SYSTEM32>\cmd.exe' /c "wmic product where name like '%Malwarebytes%' get name" (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' product where name like '%Malwarebytes%' get name
- '<SYSTEM32>\cmd.exe' /c "wmic product where name like '%AVG%' get name" (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' product where name like '%AVG%' get name
- '<SYSTEM32>\cmd.exe' /c "sc query SophosMCEAgent" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query SophosMCEAgent
- '<SYSTEM32>\cmd.exe' /c "sc query WRkrn" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query WRkrn
- '<SYSTEM32>\cmd.exe' /c "sc query a2service" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "sc query WinDefend" (со скрытым окном)
- '<SYSTEM32>\sc.exe' query a2service
- '<SYSTEM32>\sc.exe' query WinDefend
- '%WINDIR%\resources\themes\icsys.icn.exe' (со скрытым окном)
- '%WINDIR%\resources\themes\explorer.exe' (со скрытым окном)
- '%WINDIR%\resources\spoolsv.exe' SE (со скрытым окном)
- '%WINDIR%\resources\svchost.exe' (со скрытым окном)
- '%WINDIR%\resources\spoolsv.exe' PR (со скрытым окном)
