Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\svchosts
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath C:\,%APPDATA%
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\svchosts.exe
- %HOMEPATH%\chromedriver.exe
- %HOMEPATH%\microsoftcompabilitytelemetry.exe
- %HOMEPATH%\webdriver.dll
- %HOMEPATH%\newtonsoft.json.dll
- %HOMEPATH%\selenium-manager\windows\selenium-manager.exe
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath C:\,%APPDATA% (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C schtasks /create /tn svchosts /tr %APPDATA%\svchosts.exe /sc onlogon (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /tn svchosts /tr %APPDATA%\svchosts.exe /sc onlogon
