Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -NonInteractive -Command Add-MpPreference -ExclusionPath 'C:\\'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\microsoft\1\vshost.exe
- %WINDIR%\syswow64\microsoft\2\system.exe
- %WINDIR%\syswow64\microsoft\3\xt4yo8x.exe
- conout$
Сетевая активность
Подключается к
- '19#.#6.93.47':80
- '19#.#6.93.47':443
TCP
Запросы HTTP GET
Другие
- '19#.#6.93.47':443
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\microsoft\1\vshost.exe' --monitor 1 --parent 3884
- '%WINDIR%\syswow64\microsoft\2\system.exe' --monitor 2 --parent 3884
- '%WINDIR%\syswow64\microsoft\3\xt4yo8x.exe' --monitor 3 --parent 3884
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -NonInteractive -Command Add-MpPreference -ExclusionPath 'C:\\' (со скрытым окном)
