Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\server
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\taskmgr.exe" "taskmgr.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\taskmgr.exe
- %LOCALAPPDATA%\tempmicrosoft.exe
Удаляет следующие файлы
- %TEMP%\taskmgr.exe
Сетевая активность
Подключается к
- '17#.#57.27.190':111
Другое
Создает и запускает на исполнение
- '%TEMP%\taskmgr.exe'
- '%LOCALAPPDATA%\tempmicrosoft.exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\taskmgr.exe" "taskmgr.exe" ENABLE' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 1 /tn server /tr %LOCALAPPDATA%\TempMicrosoft.exe' (со скрытым окном)
- '%LOCALAPPDATA%\tempmicrosoft.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 1 /tn server /tr %LOCALAPPDATA%\TempMicrosoft.exe
- '<SYSTEM32>\taskeng.exe' {D6A343FA-C641-4287-A666-C1CF6F6C007A} S-1-5-21-1960123792-2022915161-3775307078-1001:skqfxpdci\user:Interactive:[1]
