Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring $true -DisableIOAVProtection $true -DisableIntrusionPreventionSystem $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -Enabl...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\python-3.12.4-amd64.exe
Сетевая активность
UDP
- 'localhost':49555
- 'localhost':64568
- 'localhost':53183
- 'localhost':55760
Другое
Создает и запускает на исполнение
- '%TEMP%\python-3.12.4-amd64.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ipconfig /release (со скрытым окном)
- '%WINDIR%\syswow64\ipconfig.exe' /release
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc QQBkAGQALQBNAHAAUAByAGUAZgBlAHIAZQBuAGMAZQAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEMAOgBcAG0AZgB2AGIAYgBcAHgAeQB0AGwALgBlAHgAZQA7ACAAQQBkAGQALQBNAHAAUAByAGUAZgBlAHIAZQBuAGMAZQAgAC0ARQB4... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring $true -DisableIOAVProtection $true -DisableIntrusionPreventionSystem $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -Enabl... (со скрытым окном)
