Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsDefenderUpdate' = '<Полный путь к файлу>'
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdateService' = '<Полный путь к файлу>'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring $true
Запускает большое число процессов
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\startup\svchost.exe
Изменяет файл HOSTS.
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c sc config WinDefend start= disabled
- '%WINDIR%\syswow64\cmd.exe' /c sc stop WinDefend
- '%WINDIR%\syswow64\sc.exe' stop WinDefend
- '%WINDIR%\syswow64\sc.exe' config WinDefend start= disabled
- '%WINDIR%\syswow64\cmd.exe' /k echo MEMZ TURBO EDITION ACTIVATED
- '<Полный путь к файлу>' (со скрытым окном)
