Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ZeroDPI' = '"<Полный путь к файлу>" --service-recover'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\zerodpi recovery
- <SYSTEM32>\tasks\zerodpi recovery 5m
- <SYSTEM32>\tasks\zerodpi eventlog recovery
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\ZeroDPIService] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\ZeroDPIService] 'ImagePath' = '"<Полный путь к файлу>" --service'
- [HKLM\SYSTEM\CurrentControlSet\Services\ZeroDPIGuard] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\ZeroDPIGuard] 'ImagePath' = '"<Полный путь к файлу>" --guard'
Создает следующие сервисы
- 'ZeroDPIService' <Полный путь к файлу>" --servic
- 'ZeroDPIGuard' <Полный путь к файлу>" --guar
Вредоносные функции
Патчит код
в динамической библиотеке NTDLL
- Процесс efiiq.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\zerodpi\config.json
- <SYSTEM32>\config\systemprofile\appdata\local\zerodpi\config.json
- %WINDIR%\temp\zerodpi_update.log
- %TEMP%\zd_evtask.xml
- %TEMP%\zerodpi_update.log
- %WINDIR%\temp\__psscriptpolicytest_3cb1j3i5.kxi.ps1
- %WINDIR%\temp\__psscriptpolicytest_khsihdo1.40h.psm1
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-16-177.dump
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-16-440.dump
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-16-633.dump
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-16-833.dump
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-16-903.dump
- %WINDIR%\temp\__psscriptpolicytest_xxe500dj.fvn.ps1
- %WINDIR%\temp\__psscriptpolicytest_qmhdobph.bd5.psm1
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-17-266.dump
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-17-304.dump
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-17-351.dump
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-17-436.dump
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-17-605.dump
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-17-683.dump
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-17-699.dump
- %WINDIR%\temp\content\6100-2076-powershell.exe-17-43-18-055.dump
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\powershell\startupprofiledata-noninteractive
Удаляет файлы, которые сам же создал
- %TEMP%\zd_evtask.xml
- %WINDIR%\temp\__psscriptpolicytest_3cb1j3i5.kxi.ps1
- %WINDIR%\temp\__psscriptpolicytest_khsihdo1.40h.psm1
- %WINDIR%\temp\__psscriptpolicytest_xxe500dj.fvn.ps1
- %WINDIR%\temp\__psscriptpolicytest_qmhdobph.bd5.psm1
Сетевая активность
Подключается к
- 'ze##dpi.com':443
- 'ap#.#ithub.com':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'ap#.#ithub.com':443
- 'ze##dpi.com':443
UDP
- DNS ASK ze##dpi.com
- DNS ASK ap#.#ithub.com
- DNS ASK x1.#.lencr.org
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /TN "ZeroDPI Recovery" /SC ONSTART /TR "\"<Полный путь к файлу>\" --service-recover" /RU SYSTEM /F /RL HIGHEST
- '<SYSTEM32>\schtasks.exe' /Create /TN "ZeroDPI Recovery 5m" /SC MINUTE /MO 5 /TR "\"<Полный путь к файлу>\" --service-recover" /RU SYSTEM /F /RL HIGHEST
- '<SYSTEM32>\schtasks.exe' /Create /TN "ZeroDPI EventLog Recovery" /XML "%TEMP%\zd_evtask.xml" /F
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command "try { (Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntivirusProduct -ErrorAction Stop).displayName -join ', ' } catch { 'Unknown' }" (со скрытым окном)
- '<Полный путь к файлу>' --idle-child (со скрытым окном)
