Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\Temp"
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /im Discord.exe /f
- '<SYSTEM32>\taskkill.exe' /im DiscordTokenProtector.exe /f
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\738a.tmp\7668.tmp\7669.bat
- %TEMP%\system_info.txt
- %TEMP%\sysi.txt
- %TEMP%\uuid.txt
- %TEMP%\ip.txt
- %TEMP%\netstat.txt
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\738A.tmp\7668.tmp\7669.bat <Полный путь к файлу>"
- '<SYSTEM32>\wbem\wmic.exe' diskdrive get size
- '<SYSTEM32>\wbem\wmic.exe' bios get serialnumber
- '<SYSTEM32>\wbem\wmic.exe' cpu get name
- '<SYSTEM32>\systeminfo.exe'
- '<SYSTEM32>\wbem\wmic.exe' csproduct get uuid
- '<SYSTEM32>\ipconfig.exe' /all
- '<SYSTEM32>\netstat.exe' -an
