Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "C:"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "C:\shell:startup"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionProcess "windowsdefender.rar"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionProcess "windowsdefender.vbs"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionProcess "wscript.exe"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionProcess "powershell.exe"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionProcess "conhost.exe"
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%defender.rar
- C:\system.bat
- %WINDIR% system files.vbs
- %WINDIR%defender.vbs
Удаляет следующие файлы
- %WINDIR% system files.vbs
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%WINDIR%defender.vbs"
Запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%WINDIR% System Files.vbs"
- '%WINDIR%\syswow64\cmd.exe' /c System.bat (со скрытым окном)
- '%ProgramFiles%\winrar\unrar.exe' x -pwrthrgtjwrtwrth windowsdefender.rar
