Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionProcess "<Имя файла>.exe";Add-MpPreference -ExclusionProcess "svchost.exe";Add-MpPreference -ExclusionProcess "Windows.exe";Add-MpPreference -ExclusionPath "Windows.e...
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM wscript.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\windows.exe
Сетевая активность
Подключается к
- '16#.#1.14.135':80
TCP
Запросы HTTP GET
- http://16#.#1.14.135/E4ECE
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\windows.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM wscript.exe (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /F /IM cmd.exe (со скрытым окном)
