Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '\\AppData\\Local\\Microsoft\\Windows\\Shell'"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\shell\shellhost.exe
- <Текущая директория>\sodium.zip
- <Текущая директория>\version.txt
Сетевая активность
Подключается к
- 'cl######ttings.roblox.com':443
- 'gi##ub.com':443
- 'ra#.####ubusercontent.com':443
- 'x1.#.lencr.org':80
- 'pa###bin.com':443
- 'dr##box.com':443
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'cl######ttings.roblox.com':443
- 'gi##ub.com':443
- 'ra#.####ubusercontent.com':443
- 'pa###bin.com':443
- 'dr##box.com':443
UDP
- DNS ASK cl######ttings.roblox.com
- DNS ASK gi##ub.com
- DNS ASK ra#.####ubusercontent.com
- DNS ASK x1.#.lencr.org
- DNS ASK pa###bin.com
- DNS ASK dr##box.com
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\microsoft\windows\shell\shellhost.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell -Command "Add-MpPreference -ExclusionPath '\\AppData\\Local\\Microsoft\\Windows\\Shell'"
