Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\systemfontcachee
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath \"%LOCALAPPDATA%\""
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\log.txt
- %LOCALAPPDATA%\systeme.exe
- %LOCALAPPDATA%\log.txt
- nul
- <Текущая директория>\!analyze -v-20250702-010824.dmp
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\systeme.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C schtasks /query /tn "SystemFontCacheE" > nul 2>&1
- '<SYSTEM32>\schtasks.exe' /query /tn "SystemFontCacheE"
- '<SYSTEM32>\cmd.exe' /C schtasks /create /tn "SystemFontCacheE" /tr "%LOCALAPPDATA%\systeme.exe" /sc ONLOGON /rl LIMITED /f
- '<SYSTEM32>\schtasks.exe' /create /tn "SystemFontCacheE" /tr "%LOCALAPPDATA%\systeme.exe" /sc ONLOGON /rl LIMITED /f
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath \"%LOCALAPPDATA%\"" (со скрытым окном)
