Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\Microsoft\Windows\hyper-v.exe"
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\hyper-v.exe
- %LOCALAPPDATA%\hyper-v.ver
- %TEMP%\x2o8.0
- %TEMP%\x2o8.1
- %TEMP%\x2o8.2
- %TEMP%\x2o8.3
Сетевая активность
Подключается к
- 'uu#####mkuymmqou.xyz':443
TCP
Запросы HTTP GET
Запросы HTTP POST
- http://uu######kuymmqou.xyz:443/api/client/new via uu#####mkuymmqou.xyz
UDP
- DNS ASK uu#####mkuymmqou.xyz
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\systeminfo.exe'
