Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\mOOKsZiLHt'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:\Users'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '%WINDIR%'"
Создает и запускает на исполнение
- '%APPDATA%\adobe-genр-v3.6.9.exe' (загружен из сети Интернет)
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\adobe-genp-v3.6.9.exe
- %APPDATA%\adobe-genр-v3.6.9.exe
- %TEMP%\aut4547.tmp
- %APPDATA%\config.ini
- %LOCALAPPDATA%\mookszilht\tadwagwe.exe
Сетевая активность
Подключается к
- '17#.#8.185.8':5858
TCP
Запросы HTTP GET
- http://17#.##.185.8:5858/nix.exe via 17#.#8.185.8
Другое
Ищет следующие окна
- ClassName: 'Edit' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\adobe-genр-v3.6.9.exe'
- '%APPDATA%\adobe-genp-v3.6.9.exe'
- '%LOCALAPPDATA%\mookszilht\tadwagwe.exe'
