Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -c Add-MpPreference -ExclusionPath \"%TEMP%\Low\nsd9164.tmp\"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -c Add-MpPreference -ExclusionPath \"%ProgramFiles%\Kryptex\"
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\low\nsd9164.tmp\system.dll
- %TEMP%\low\nsd9164.tmp\stdutils.dll
- %TEMP%\low\nsd9164.tmp\nsexec.dll
- %TEMP%\low\nsd9164.tmp\spiderbanner.dll
- %TEMP%\low\nsd9164.tmp\nsprocess.dll
- %TEMP%\low\nsd9164.tmp\app-64.7z
- %TEMP%\low\nsd9164.tmp\nsis7z.dll
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -c Add-MpPreference -ExclusionPath \"%TEMP%\Low\nsd9164.tmp\"' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -c Add-MpPreference -ExclusionPath \"%ProgramFiles%\Kryptex\"' (со скрытым окном)
