Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, explorer.exe %LOCALAPPDATA%\Microsoft\WindowsDefender\DefenderUpdateRun.vbs'
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windowsdefender\defenderupdaterun.vbs
- %LOCALAPPDATA%\microsoft\windowsdefender\cleartemp.ps1
- %ALLUSERSPROFILE%\mozilla\vwtbx1iipgbfwlipvw.bin
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\mozilla\vwtbx1iipgbfwlipvw.bin
Самоудаляется.
Сетевая активность
TCP
- '21#.#09.221.205':443
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%LOCALAPPDATA%\Microsoft\WindowsDefender\DefenderUpdateRun.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ex bypass -f %LOCALAPPDATA%\Microsoft\WindowsDefender\ClearTemp.ps1
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ex bypass -f %LOCALAPPDATA%\Microsoft\WindowsDefender\ClearTemp.ps1' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "explorer.exe, explorer.exe %LOCALAPPDATA%\Microsoft\WindowsDefender\DefenderUpdateRun.vbs" /f
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "explorer.exe, explorer.exe %LOCALAPPDATA%\Microsoft\WindowsDefender\DefenderUpdateRun.vbs" /f
- '<SYSTEM32>\cmd.exe' /C %LOCALAPPDATA%\Microsoft\WindowsDefender\DefenderUpdateRun.vbs
