Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '%APPDATA%'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '<Текущая директория>\temp folder'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\Temp'"
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\temp folder\openbullet facebook config.exe
- <Текущая директория>\temp folder\package.zip
- <Текущая директория>\temp folder\res\icon.ico
- <Текущая директория>\temp folder\res\tele.ico
- <Текущая директория>\temp folder\res\x.png
- <Текущая директория>\temp folder\bat.bat
- <Текущая директория>\temp folder\extract.exe
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\temp folder\openbullet facebook config.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c bat.bat (со скрытым окном)
