Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\95162d974bbb9378
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\abzpdcjf] 'ImagePath' = '%TEMP%\abzpdcjf.sys'
Создает следующие сервисы
- 'abzpdcjf' %TEMP%\abzpdcjf.sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Центр обеспечения безопасности (Security Center)
- Системный антивирус (Защитник Windows)
Патчит код
в динамической библиотеке NTDLL
- Процесс zfgl.exe, модуль ntdll.dll
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\securityhealthsystray.exe
- <SYSTEM32>\securityhealthservice.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abzpdcjf.sys
- %ALLUSERSPROFILE%\microsoft\windows security health\logs\shs-04022026-202651-7-7f-19041.1.amd64fre.vb_release.191206-1406.etl
Удаляет файлы, которые сам же создал
- %TEMP%\abzpdcjf.sys
Сетевая активность
UDP
- DNS ASK yz#.#xkj999.vip
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\securityhealthservice.exe'
- '<Полный путь к файлу>' -d adc (со скрытым окном)
