Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoftedgeupdatetaskmachinecore{192901b9-8f32-401b-808f-7cc3cff3e6e5}
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' /command "Add-MpPreference -ExclusionPath '%WINDIR%\'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' /command "Add-MpPreference -ExclusionPath '%WINDIR%\csrss.exe'"
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%WINDIR%\csrss.exe" "csrss.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\csrss.exe
Сетевая активность
Подключается к
- 'dl.###exprivate.xyz':443
- 'n-######ors.gl.at.ply.gg':29735
TCP
Другие
- 'dl.###exprivate.xyz':443
UDP
- DNS ASK dl.###exprivate.xyz
- DNS ASK n-######ors.gl.at.ply.gg
Другое
Создает и запускает на исполнение
- '%WINDIR%\csrss.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "MicrosoftEdgeUpdateTaskMachineCore{192901B9-8F32-401B-808F-7CC3CFF3E6E5}" /tr "\"%WINDIR%\csrss.exe\"" /sc onlogon /ru user /rl highest /f (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' /command "Add-MpPreference -ExclusionPath '%WINDIR%\'" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' /command "Add-MpPreference -ExclusionPath '%WINDIR%\csrss.exe'" (со скрытым окном)
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%WINDIR%\csrss.exe" "csrss.exe" ENABLE (со скрытым окном)
