Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' advfirewall set allprofiles state on
- '<SYSTEM32>\netsh.exe' advfirewall set currentprofile state on
- '<SYSTEM32>\netsh.exe' advfirewall set domainprofile state on
- '<SYSTEM32>\netsh.exe' advfirewall set privateprofile state on
- '<SYSTEM32>\netsh.exe' advfirewall set publicprofile state on
Изменения в файловой системе
Удаляет следующие файлы
- <DRIVERS>\etc\hosts
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c netsh advfirewall set allprofiles state on & netsh advfirewall set currentprofile state on & netsh advfirewall set domainprofile state on & netsh advfirewall set privateprofile state on & ne...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c netsh advfirewall set allprofiles state on & netsh advfirewall set currentprofile state on & netsh advfirewall set domainprofile state on & netsh advfirewall set privateprofile state on & ne...
- '<SYSTEM32>\reg.exe' DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /f
- '<SYSTEM32>\reg.exe' DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableTaskMgr /f
- '<SYSTEM32>\reg.exe' DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoWinKeys /f
- '<SYSTEM32>\reg.exe' DELETE HKCU\Software\Microsoft\Windows\System\ /v DisableCMD /f
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Remove-MpPreference -ExclusionExtension .exe
