Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%HOMEPATH%'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%APPDATA%'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\Temp'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%WINDIR%'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\svchost32.exe
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
Другое
Создает и запускает на исполнение
- '%TEMP%\svchost32.exe' "<Полный путь к файлу>"
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell -Command Add-MpPreference -ExclusionPath '%UserProfile%' & powershell -Command Add-MpPreference -ExclusionPath '%AppData%' & powershell -Command Add-MpPreference -ExclusionPath '%...
- '<SYSTEM32>\cmd.exe' /c %TEMP%\svchost32.exe "<Полный путь к файлу>" (со скрытым окном)
