Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\comsurrogate
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\windowspowershell\dllhost.exe
Сетевая активность
Подключается к
- '19#.#35.91.190':80
- '46.#.19.252':80
TCP
Запросы HTTP GET
- http://19#.#35.91.190/cr/text.txt
- http://46.#.19.252/gate.php?ty###################################
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\documents\windowspowershell\dllhost.exe'
- '%WINDIR%\syswow64\cmd.exe' /c powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath C:\Users' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath C:\Users
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath C:\Users
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
- '%WINDIR%\syswow64\schtasks.exe' /create /tn COMSurrogate /st 00:00 /du 9999:59 /sc once /ri 1 /f /tr "%HOMEPATH%\Documents\WindowsPowerShell\dllhost.exe"
