Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\systemupdate
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
удаляет теневые копии разделов.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\<Имя файла>.exe
- %HOMEPATH%\desktop\how_to_recover_files.txt
Сетевая активность
Подключается к
- '<LOCALNET>.47.1':445
- '<LOCALNET>.47.1':139
Другое
Создает и запускает на исполнение
- '%APPDATA%\<Имя файла>.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c wmic SHADOWCOPY DELETE /nointeractive
- '%WINDIR%\syswow64\cmd.exe' /c wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
- '%WINDIR%\syswow64\cmd.exe' /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
- '%WINDIR%\syswow64\cmd.exe' /c wbadmin DELETE BACKUP -deleteOldest
- '%WINDIR%\syswow64\cmd.exe' /c wbadmin DELETE BACKUP -keepVersions:0
- '%WINDIR%\syswow64\cmd.exe' /c vssadmin Delete Shadows /All /Quiet
- '%WINDIR%\syswow64\cmd.exe' /c bcdedit /set {default} recoveryenabled No
- '%WINDIR%\syswow64\cmd.exe' /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\taskeng.exe' {794AAF66-9631-4BB7-A630-28FF1A62E26B} S-1-5-21-3150914307-1777937420-491476919-1000:mgtmgqfnwsb\user:Interactive:[1]
- '%APPDATA%\<Имя файла>.exe' (со скрытым окном)
