Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\W32Time] 'Start' = '00000002'
Вредоносные функции
Патчит код
в динамической библиотеке NTDLL
- Процесс cgvvowh.exe, модуль ntdll.dll
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass', WindowName: ''
Сетевая активность
Подключается к
- 'cr####spoofer.net':443
UDP
- DNS ASK ti##.#loudflare.com
- DNS ASK time.google.com
- DNS ASK cr####spoofer.net
Другое
Ищет следующие окна
- ClassName: 'Registry Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c sc config w32time start= auto
- '<SYSTEM32>\sc.exe' config w32time start= auto
- '<SYSTEM32>\cmd.exe' /c net start w32time
- '<SYSTEM32>\net.exe' start w32time
- '<SYSTEM32>\net1.exe' start w32time
- '<SYSTEM32>\cmd.exe' /c w32tm /config /manualpeerlist:"time.cloudflare.com time.google.com time.windows.com" /syncfromflags:manual /reliable:yes /update
- '<SYSTEM32>\w32tm.exe' /config /manualpeerlist:"time.cloudflare.com time.google.com time.windows.com" /syncfromflags:manual /reliable:yes /update
- '<SYSTEM32>\cmd.exe' /c w32tm /resync /force
- '<SYSTEM32>\w32tm.exe' /resync /force
- '<SYSTEM32>\cmd.exe' /c cls
