Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'A52f048d26bbfar' = '%CommonProgramFiles%\System\WKbTt250s99na5r\svchost.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра:
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '%CommonProgramFiles%\System\WKbTt250s99na5r\svchost.exe' = '00000000'
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Exclusions\Paths] '<Полный путь к файлу>' = '00000000'
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%CommonProgramFiles%\System\WKbTt250s99na5r\svchost.exe" -Force
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force
Изменения в файловой системе
Создает следующие файлы
- %CommonProgramFiles%\system\wkbtt250s99na5r\svchost.exe
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "%CommonProgramFiles%\System\WKbTt250s99na5r\svchost.exe" -Force (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath "<Полный путь к файлу>" -Force (со скрытым окном)
