Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath '<Полный путь к файлу>'"
Сетевая активность
Подключается к
- 'ra#.####ubusercontent.com':443
- 'ke##uth.win':443
- 'x1.#.lencr.org':80
- 'x2.#.lencr.org':80
- 'ye.#.lencr.org':80
- 'ye#.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x2.#.lencr.org/
- http://ye.#.lencr.org/
- http://ye#.#.lencr.org/15.crl
Другие
- 'ra#.####ubusercontent.com':443
- 'ke##uth.win':443
UDP
- DNS ASK ra#.####ubusercontent.com
- DNS ASK ke##uth.win
- DNS ASK x1.#.lencr.org
- DNS ASK x2.#.lencr.org
- DNS ASK ye.#.lencr.org
- DNS ASK ye#.#.lencr.org
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c color b
- '<SYSTEM32>\cmd.exe' /c powershell -NoProfile -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath '<Полный путь к файлу>'"
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "<Полный путь к файлу>" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "<Полный путь к файлу>" MD5
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
