Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\refap
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\winzip\refap.exe
- %ALLUSERSPROFILE%\screen.jpg
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\winzip\refap.exe
Сетевая активность
Подключается к
- '17#.#3.141.116':80
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc MINUTE /mo 5 /RL HIGHEST /tn "REFAP" /tr "%ALLUSERSPROFILE%\winzip\REFAP.exe" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /f /sc MINUTE /mo 5 /RL HIGHEST /tn "REFAP" /tr "%ALLUSERSPROFILE%\winzip\REFAP.exe"
