Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\Microsoft\Windows\systemtask.exe"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "$env:LOCALAPPDATA\Microsoft\windows\systemtask.exe"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\systemtask.exe
- %LOCALAPPDATA%\hyper-v.ver
- %TEMP%\x1v0.0
- %TEMP%\x1v0.1
- %TEMP%\x1v0.1-shm
- %TEMP%\x1v0.3
Сетевая активность
Подключается к
- 'oe#####gskemoqai.xyz':443
TCP
Запросы HTTP GET
- http://oe######skemoqai.xyz:443/avast_update via oe#####gskemoqai.xyz
- http://oe######skemoqai.xyz:443/api/client_hello via oe#####gskemoqai.xyz
UDP
- DNS ASK es#####ywmuykmws.xyz
- DNS ASK ma#####umcqimwag.xyz
- DNS ASK oe#####gskemoqai.xyz
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\systeminfo.exe'
