Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Active Setup\Installed Components\{9E3F6A5F-5B3F-4B93-A8D7-001122334455}] 'StubPath' = 'systeme.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\systeme.exe.lnk
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath \"%LOCALAPPDATA%\""
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\systeme.exe
- nul
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\systeme.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C schtasks /query /tn "SystemUpdateLogger" > nul 2>&1 (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /query /tn "SystemUpdateLogger"
- '<SYSTEM32>\schtasks.exe' /create /tn "%LOCALAPPDATA%\systeme.exe" /tr "systeme.exe" /sc onlogon /rl HIGHEST /f
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath \"%LOCALAPPDATA%\"" (со скрытым окном)
