Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\thqymm
- <SYSTEM32>\tasks\microsoft\windows\tags\surrogateselector
- <SYSTEM32>\tasks\bvvfn
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -enc QQBkAGQALQBNAHAAUAByAGUAZgBlAHIAZQBuAGMAZQAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEMAOgBcAFUAcwBlAHIAcwBcAHUAcwBlAHIAXABBAHAAcABEA...
Патчит код
в динамической библиотеке AMSI
- Процесс fqrsk.exe, модуль Amsi.dll
- Процесс surrogateselector.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс fqrsk.exe, модуль ntdll.dll
- Процесс surrogateselector.exe, модуль ntdll.dll
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\windowspowershell\v1.0\powershell.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\tags\tkejdnk\surrogateselector.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
Удаляет файлы, которые сам же создал
- <SYSTEM32>\tasks\thqymm
- <SYSTEM32>\tasks\bvvfn
Сетевая активность
UDP
- DNS ASK mc.###iablinter.net
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\tags\tkejdnk\surrogateselector.exe'
