Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '<Текущая директория>'
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\resolution.ini
- %HOMEPATH%\desktop\vГµ lГўm pk ctc.lnk
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\8qsnnbrb\navcancl[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\ckqw07u8\errorpagetemplate[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\ma50l122\errorpagestrings[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\8lpbbhad\httperrorpagesscripts[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\8qsnnbrb\info_48[1]
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\ckqw07u8\background_gradient[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\ma50l122\bullet[1]
Сетевая активность
UDP
- DNS ASK ap###.ipify.org
- DNS ASK tu#####nhtieungao.net
- DNS ASK ip##.#canhazip.com
- DNS ASK ap#.#pify.org
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell -Command Add-MpPreference -ExclusionPath '<Текущая директория>'
