Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'nvFD2' = '"%WINDIR%\nvFD2.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nvfd2
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -c "Add-MpPreference -ExclusionPath '%WINDIR%' -ExclusionProcess 'nvFD2.exe'"
Патчит код
в динамической библиотеке AMSI
- Процесс nvfd2.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс nvfd2.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\msteamssetup.exe
- %WINDIR%\nvfd2.exe
Сетевая активность
Подключается к
- '<DNS_SERVER>':53
- 'de##.#hvarmsd.com':443
- 'x1.#.lencr.org':80
- '45.#02.1.50':12159
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'de##.#hvarmsd.com':443
- '45.#02.1.50':12159
UDP
- DNS ASK de##.#hvarmsd.com
- DNS ASK x1.#.lencr.org
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\nvfd2.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "nvFD2" /tr "\"%WINDIR%\nvFD2.exe\"" & exit (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /rl highest /tn "nvFD2" /tr "\"%WINDIR%\nvFD2.exe\""
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -c "Add-MpPreference -ExclusionPath '%WINDIR%' -ExclusionProcess 'nvFD2.exe'" (со скрытым окном)
