SHA1:
- 22b241b39c7e28dc15556d3da7e3a854c4e9219e
Многофункциональный троянец для устройств под управлением Microsoft Windows, создан с использованием среды разработки .NET Framework, упакован themida. В качестве управляющего сервера использует сайт telegra.ph. Для собственной автозагрузки применяет Планировщик задач Windows.
Троянец умеет определять попытки своего запуска в виртуальной машине: для этого он отправляет запрос Windows Management Instrumentation (WMI) вида * from Win32_ComputerSystem" и проверяет, что:
- значение Manufacturer, приведенное к нижнему регистру, содержит "vmware";
- значение Manufacturer, приведенное к нижнему регистру, совпадает с "microsoft corporation", и значение Model, приведенное к верхнему регистру, содержит "VIRTUAL";
- значение Model содержит "VirtualBox";
- все возвращаемые объекты вредоносная программа проверяет на совпадение имени параметра со строкой "HypervisorPresent".
Также троянец проверяет наличие следующих загруженных в процесс модулей:
- cmdvrt32.dll
- SxIn.dll
- SbieDll.dll
- Sf2.dll
- snxhk.dll
Троянец обладает следующими функциональными возможностями:
- выполнение DDoS-атак (HTTP, UDP);
- поиск файлов на диске "C:";
- создание файлов;
- скачивание файлов;
- загрузка файлов на удаленный сервер;
- выполнение команд на зараженной машине;
- создание указанного ключа реестра;
- проверка наличия работающего процесса с указанным именем.