Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\svchost
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -Command "Add-MpPreference -ExclusionPath '%APPDATA%\WindowsServices\svchost.exe'; Add-MpPreference -ExclusionProcess '%APPDATA%\WindowsServices\svchost.exe'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -Command "Add-MpPreference -ExclusionPath '%WINDIR%\Microsoft.NET\Framework64\v4.0.30319\AddInProcess.exe'; Add-MpPreference -ExclusionProcess '%WINDIR%\Microsoft.NET\Framework64\v4....
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\addinprocess.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\4288-4488-<Имя файла>.exe-14-05-28-814.dump
- %APPDATA%\windowsservices\svchost.exe
- %TEMP%\svchost.xml
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %TEMP%\content\5476-5468-addinprocess.exe-14-05-40-069.dump
Удаляет файлы, которые сам же создал
- %TEMP%\svchost.xml
Сетевая активность
Подключается к
- 'mu####z.didns.ru':2053
UDP
- DNS ASK mu####z.didns.ru
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /delete /tn "svchost" /f
- '<SYSTEM32>\schtasks.exe' /create /tn "svchost" /xml "%TEMP%\svchost.xml" /f
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\addinprocess.exe' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /query /tn "svchost"
