Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\driver_check] 'ImagePath' = '%TEMP%\check'
Создает следующие сервисы
- 'driver_check' %TEMP%\\check
- 'driver_check' %TEMP%\check
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' -im SonicRadar.exe -t -f
- '%WINDIR%\syswow64\taskkill.exe' -im 5EClient.exe -t -f
- '%WINDIR%\syswow64\taskkill.exe' -t -f /FI "IMAGENAME eq Nahimic2*
- '%WINDIR%\syswow64\net.exe' stop LdxFileServer
- '%WINDIR%\syswow64\net.exe' stop Ldxghcore
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\check
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' delete LdxFileServer (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete Ldxghcore (со скрытым окном)
- '%WINDIR%\syswow64\net1.exe' stop LdxFileServer
- '%WINDIR%\syswow64\net1.exe' stop Ldxghcore
- '%WINDIR%\syswow64\taskkill.exe' -im SonicRadar.exe -t -f (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' -im 5EClient.exe -t -f (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' -t -f /FI "IMAGENAME eq Nahimic2* (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop LdxFileServer (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop Ldxghcore (со скрытым окном)
