Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\calc.exe
- %WINDIR%\microsoft.net\framework\v4.0.30319\ilasm.exe
- <SYSTEM32>\notepad.exe
- %WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe
- %WINDIR%\microsoft.net\framework\v4.0.30319\ngen.exe
следующие пользовательские процессы:
- wab.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\remcos\logs.dat
Сетевая активность
Подключается к
- '23.#5.60.82':4445
Другое
Запускает на исполнение
- '%ProgramFiles(x86)%\windows mail\wab.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force (со скрытым окном)
