Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\bpbcywrshbhmtggopg.job
- <SYSTEM32>\tasks\bpbcywrshbhmtggopg
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zs3996.tmp\install.exe
- %TEMP%\nmgmkkrbxzizjtwli\xumybxixrbhjdhc\ivdulpg.exe
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\s-1-5-18\d42cc0c3858a58db2db37658219e6400_d99ef00b-ccd3-4f1d-9980-90ac453b0b47
Другое
Создает и запускает на исполнение
- '%TEMP%\7zs3996.tmp\install.exe' /HbRnWdidPG "385132" /S
Запускает на исполнение
- '%WINDIR%\syswow64\forfiles.exe' /p <SYSTEM32> /m where.exe /c "cmd /C powershell -WindowStyle Hidden WMIC /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference call Add ExclusionExtension=exe Force=True"
- '%WINDIR%\syswow64\cmd.exe' powershell -WindowStyle Hidden WMIC /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference call Add ExclusionExtension=exe Force=True
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden WMIC /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference call Add ExclusionExtension=exe Force=True
- '%WINDIR%\syswow64\schtasks.exe' /CREATE /TN "bPbCywRsHBHMtggopg" /SC once /ST 13:10:00 /RU "SYSTEM" /TR "\"%TEMP%\nMGmkKRbxZIZJTwli\XumYbxIxrBhJDhC\IVdUlpG.exe\" VU /GdidegpN 385132 /S" /V1 /F
- '%WINDIR%\syswow64\wbem\wmic.exe' /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference call Add ExclusionExtension=exe Force=True
