Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'AUTO-Explorer UpDater' = '<Полный путь к файлу>'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\auto-explorer updater
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра::
- [<HKLM>\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\Exclusions\Paths] '<Полный путь к файлу>' = '00000001'
- [<HKLM>\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\Exclusions\Paths] '<PATH_SAMPLE>.new' = '00000001'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '<Полный путь к файлу>' = '00000001'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '<PATH_SAMPLE>.new' = '00000001'
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\dir.cntrl
- <Текущая директория>\dir
Сетевая активность
Подключается к
- '94.##9.192.226':80
- '94.##9.192.226':443
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "AUTO-Explorer UpDater" /tr "<Полный путь к файлу>" /sc onlogon /rl highest /f' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "AUTO-Explorer UpDater" /tr "<Полный путь к файлу>" /sc onlogon /rl highest /f
