Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring $true
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\vahnpyhgoaoippwsof.exe
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c sc config WinDefend start= disabled (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c sc stop WinDefend (со скрытым окном)
- '<SYSTEM32>\sc.exe' config WinDefend start= disabled
- '<SYSTEM32>\sc.exe' stop WinDefend
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring $true (со скрытым окном)
