Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '<Полный путь к файлу>'"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\5372-5344-<Имя файла>.exe-22-54-23-565.dump
- %TEMP%\content\5372-5344-<Имя файла>.exe-22-54-28-862.dump
- <Текущая директория>\config.json
- <Текущая директория>\logs\errorlogs.txt
Сетевая активность
Подключается к
- 'clients3.google.com':443
- 'to#########-default-rtdb.firebaseio.com':443
- 'ke##uth.win':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'clients3.google.com':443
- 'to#########-default-rtdb.firebaseio.com':443
- 'ke##uth.win':443
UDP
- DNS ASK clients3.google.com
- DNS ASK to#########-default-rtdb.firebaseio.com
- DNS ASK ke##uth.win
- DNS ASK x1.#.lencr.org
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Get-MpPreference | Select-Object -ExpandProperty ExclusionPath"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '<Полный путь к файлу>'" (со скрытым окном)
