Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\svchostrutv
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\google\chrome\updater.exe
- %TEMP%\ajgzafat.tmp
- %APPDATA%\google\libs\g.log
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' <#lxdpbxgh#> IF((New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) { schtasks...
- '%APPDATA%\google\chrome\updater.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' <#vpsgcpq#> IF((New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) { IF([Syste...
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' <#vpsgcpq#> IF((New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) { IF([Syste...
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /rl highest /tn svchostrutv /tr '%APPDATA%\Google\Chrome\updater.exe'
- '<SYSTEM32>\schtasks.exe' /run /tn svchostrutv
- '<SYSTEM32>\taskeng.exe' {34E10ECC-FA47-4E26-A8AF-B8381E3C6C57} S-1-5-21-3691498038-2086406363-2140527554-1000:cwwzxej\user:Interactive:[1]
- '<SYSTEM32>\cmd.exe' /c wmic PATH Win32_VideoController GET Name, VideoProcessor > "%APPDATA%\Google\Libs\g.log"
- '<SYSTEM32>\wbem\wmic.exe' PATH Win32_VideoController GET Name, VideoProcessor
- '%APPDATA%\google\chrome\updater.exe' (со скрытым окном)
