Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ldvhKvG3JiuQQsobp' = 'C:\Users\Public\Documents\EzoWN7spBHHjwiEre\svchost.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'ldvhKvG3JiuQQsobp' = 'C:\Users\Public\Documents\EzoWN7spBHHjwiEre\svchost.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра::
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] 'C:\Users\Public\Documents\EzoWN7spBHHjwiEre\svchost.exe' = '00000000'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '<Полный путь к файлу>' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\ezown7spbhhjwiere\svchost.exe
Сетевая активность
Подключается к
- '92.##8.36.201':3001
- '92.##8.36.201':8808
- '92.##8.36.201':7707
TCP
Другие
- '92.##8.36.201':3001
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "C:\Users\Public\Documents\EzoWN7spBHHjwiEre\svchost.exe" -Force' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "C:\Users\Public\Documents\EzoWN7spBHHjwiEre\svchost.exe" -Force
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force
