Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\windowspowershell\v1.0\powershell.exe
- <SYSTEM32>\chcp.com
Патчит код
в динамической библиотеке
- Процесс foeh.exe, модуль win32u.dll
- Процесс cmd.exe, модуль win32u.dll
- Процесс powershell.exe, модуль win32u.dll
- Процесс chcp.com, модуль win32u.dll
в динамической библиотеке NTDLL
- Процесс foeh.exe, модуль ntdll.dll
- Процесс cmd.exe, модуль ntdll.dll
- Процесс powershell.exe, модуль ntdll.dll
- Процесс chcp.com, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\4qyaska6.bat
Сетевая активность
UDP
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\4QYASKA6.bat" "<Полный путь к файлу>" " (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command "function Set-ExecutionPolicy { param([Parameter(ValueFromRemainingArguments=$true)][object[]]$args) }; $ProgressPreference = 'SilentlyContinue'; $Po...
- '<SYSTEM32>\chcp.com' 65001
