Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\buil\temp_docs\'"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-fmb2j.tmp\<Имя файла>.tmp
- %TEMP%\is-iuf1m.tmp\_isetup\_setup64.tmp
- %ALLUSERSPROFILE%\buil\temp_docs\is-te9t6.tmp
- %ALLUSERSPROFILE%\buil\temp_docs\is-d271s.tmp
- %ALLUSERSPROFILE%\buil\temp_docs\is-90j1i.tmp
Удаляет файлы, которые сам же создал
- %TEMP%\is-iuf1m.tmp\_isetup\_setup64.tmp
- %TEMP%\is-fmb2j.tmp\<Имя файла>.tmp
Перемещает следующие файлы
- %ALLUSERSPROFILE%\buil\temp_docs\is-te9t6.tmp в %ALLUSERSPROFILE%\buil\temp_docs\45jurus5odx.exe
- %ALLUSERSPROFILE%\buil\temp_docs\is-d271s.tmp в %ALLUSERSPROFILE%\buil\temp_docs\etw0nd2t.dll
- %ALLUSERSPROFILE%\buil\temp_docs\is-90j1i.tmp в %ALLUSERSPROFILE%\buil\temp_docs\okg60o.xk
Сетевая активность
Подключается к
- '<DNS_SERVER>':53
Другое
Создает и запускает на исполнение
- '%TEMP%\is-fmb2j.tmp\<Имя файла>.tmp' /SL5="$D01BA,16329622,1046528,<Полный путь к файлу>"
- '%ALLUSERSPROFILE%\buil\temp_docs\45jurus5odx.exe'
Запускает на исполнение
- '%ALLUSERSPROFILE%\buil\temp_docs\45jurus5odx.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\buil\temp_docs\'" (со скрытым окном)
