Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -ExecutionPolicy Bypass -EncodedCommand JABsAGEAPQAkAGUAbgB2ADoATABPAEMAQQBMAEEAUABQAEQAQQBUAEEAOwAkAHAAMQA9ACgAJABsAGEAIAArACAAKAAnAFwAJwArACcATQBpAGMAcgBvAHMAbwBmACcAKwAnA...
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\regasm.exe
Патчит код
в динамической библиотеке NTDLL
- Процесс regasm.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\3256-2900-<Имя файла>.exe-18-05-12-194.dump
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\regasm.exe'
- '%ProgramFiles%\mozilla firefox\firefox.exe' --headless --incognito
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --headless --disable-gpu
- '<SYSTEM32>\attrib.exe' +h +s %LOCALAPPDATA%\Microsoft\OfficeBroker
- '<SYSTEM32>\attrib.exe' +h +s %LOCALAPPDATA%\Packages\Microsoft.Windows.PeopleExperienceHost_gw1n1c2fhyeqy
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths" /f /reg:64
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths" /v %LOCALAPPDATA%\Microsoft\OfficeBroker /t REG_DWORD /d 0 /f /reg:64
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths" /v %LOCALAPPDATA%\Packages\Microsoft.Windows.PeopleExperienceHost_gw1n1c2fhyeqy /t REG_DWORD /d 0 /f /reg:64
