Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\inteldriver.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\expuslog.txt
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK pa###bin.com
- DNS ASK gm###l.zz.am
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\inteldriver.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath C:\' (со скрытым окном)
- '%APPDATA%\microsoft\windows\start menu\programs\startup\inteldriver.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /K del /q "%WINDIR% \System32\*" & exit' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /K rmdir "%WINDIR% \System32" & exit' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /K rmdir "%WINDIR% \" & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Get-MpPreference -verbose
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath C:\
- '%WINDIR%\syswow64\cmd.exe' /K del /q "%WINDIR% \System32\*" & exit
- '%WINDIR%\syswow64\cmd.exe' /K rmdir "%WINDIR% \System32" & exit
- '%WINDIR%\syswow64\cmd.exe' /K rmdir "%WINDIR% \" & exit
