Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\services\RemoteServiceFirewall\Parameters] 'ServiceDll' = '<SYSTEM32>\RemoteServiceFirewall.dll'
- [HKLM\SYSTEM\CurrentControlSet\Services\RemoteServiceFirewall] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\RemoteServiceFirewall] 'ImagePath' = '<SYSTEM32>\svchost.exe -k RemoteServiceFirewall'
Создает следующие сервисы
- 'RemoteServiceFirewall' <SYSTEM32>\svchost.exe -k RemoteServiceFirewall
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "<SYSTEM32>"
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\remoteservicefirewall.dll
- %WINDIR%\uzfrzp.bin
Сетевая активность
UDP
- DNS ASK gr###fy.link
Другое
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k RemoteServiceFirewall -s RemoteServiceFirewall
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "<SYSTEM32>" (со скрытым окном)
