Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'RegStartup' = '<Полный путь к файлу>'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\server.exe" "server.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\server.exe
Сетевая активность
Подключается к
- 'localhost':1515
Другое
Создает и запускает на исполнение
- '%TEMP%\server.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -command New-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' -Name "RegStartup" -Value %TEMP%\server.exe -PropertyType "String"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -command New-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' -Name "RegStartup" -Value <Полный путь к файлу> -PropertyType "String...' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -command New-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' -Name "RegStartup" -Value %TEMP%\server.exe -PropertyType "String"' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\server.exe" "server.exe" ENABLE' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -command New-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' -Name "RegStartup" -Value <Полный путь к файлу> -PropertyType "String...
