Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>' = '"<Полный путь к файлу>"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\<Имя файла>
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -c "Add-MpPreference -ExclusionPath '<Текущая директория>' -ExclusionProcess '<Имя файла>.exe'"
Патчит код
в динамической библиотеке AMSI
- Процесс dpvn.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс dpvn.exe, модуль ntdll.dll
Сетевая активность
Подключается к
- '<DNS_SERVER>':53
- 'de##.#hvarmsd.com':443
- 'x1.#.lencr.org':80
- '45.#02.1.50':12159
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'de##.#hvarmsd.com':443
- '45.#02.1.50':12159
UDP
- DNS ASK de##.#hvarmsd.com
- DNS ASK x1.#.lencr.org
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "<Имя файла>" /tr "\"<Полный путь к файлу>\"" & exit (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /rl highest /tn "<Имя файла>" /tr "\"<Полный путь к файлу>\""
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -c "Add-MpPreference -ExclusionPath '<Текущая директория>' -ExclusionProcess '<Имя файла>.exe'" (со скрытым окном)
