Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\t45xy.exe
- %TEMP%\e501.tmp\e502.tmp\e503.bat
- %TEMP%\e501.tmp\bypass.exe
- %TEMP%\e501.tmp\process.exe
- %TEMP%\e501.tmp\microsoft edge.exe
- %TEMP%\defender.exe
- %TEMP%\auteb77.tmp
- %TEMP%\wbklfgy
- %WINDIR%\temp\autf759.tmp
- %WINDIR%\temp\fbghqkp
Удаляет следующие файлы
- %TEMP%\auteb77.tmp
- %TEMP%\wbklfgy
- %WINDIR%\prefetch\explorer.exe-a80e4f97.pf
- %WINDIR%\prefetch\dllhost.exe-5e46fa0d.pf
- %WINDIR%\prefetch\dllhost.exe-766398d2.pf
- %WINDIR%\prefetch\dllhost.exe-7faa2e4c.pf
- %WINDIR%\prefetch\dllhost.exe-861f96f8.pf
- %WINDIR%\prefetch\dllhost.exe-b2eb1806.pf
- %WINDIR%\prefetch\dllhost.exe-d58da3a6.pf
- %WINDIR%\prefetch\dllhost.exe-ecb71776.pf
- %TEMP%\defender.exe
- %WINDIR%\temp\autf759.tmp
- %WINDIR%\temp\fbghqkp
Подменяет следующие файлы
- %ALLUSERSPROFILE%\ntuser.pol
- %HOMEPATH%\ntuser.pol
- %ALLUSERSPROFILE%\tempntuser.pol
Другое
Создает и запускает на исполнение
- '%TEMP%\t45xy.exe'
- '%TEMP%\e501.tmp\bypass.exe'
- '%TEMP%\defender.exe' /D
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\E501.tmp\E502.tmp\E503.bat <Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\E501.tmp\E502.tmp\E503.bat <Полный путь к файлу>"
- '<SYSTEM32>\gpscript.exe' /RefreshSystemParam
- '<SYSTEM32>\raserver.exe' /offerraupdate
