Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring 1
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\edgecp\microsoftedgecps.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\edgecp\microsoftedgecps.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'di#####.serivice.com':80
TCP
Запросы HTTP GET
- http://di#####.serivice.com/panel/gate.php?ct##
UDP
- DNS ASK di#####.serivice.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\edgecp\microsoftedgecps.exe'
- '%APPDATA%\edgecp\microsoftedgecps.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Start-Sleep -s 10; Remove-Item -Path '<Полный путь к файлу>' -Force -Recurse' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring 1' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Start-Sleep -s 10; Remove-Item -Path '<Полный путь к файлу>' -Force -Recurse
