Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath "%ALLUSERSPROFILE%\SecureApp""
Сетевая активность
Подключается к
- 'gi##ub.com':443
TCP
Другие
- 'gi##ub.com':443
UDP
- DNS ASK gi##ub.com
Другое
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<PATH_SAMPLE>.vbs" /elevated (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "Set-MpPreference -DisableRealtimeMonitoring $true" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath "%ALLUSERSPROFILE%\SecureApp"" (со скрытым окном)
