Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoftedgeupdatetaskmachinecoreuac{78f388db-0303-40aj-a80b-51537e33362a}
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath '%TEMP%\wlanext.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'wlanext.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\2856-2844-<Имя файла>.exe-13-33-59-894.dump
- %TEMP%\wlanext.exe
- %TEMP%\tmp37c5.tmp.bat
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %TEMP%\content\5984-6056-wlanext.exe-13-34-13-892.dump
- nul
- %TEMP%\content\5984-6052-wlanext.exe-13-34-14-134.dump
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\wlanext.exe
Сетевая активность
Подключается к
- '82.#6.74.32':1177
Другое
Создает и запускает на исполнение
- '%TEMP%\wlanext.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp37C5.tmp.bat""
- '<SYSTEM32>\timeout.exe' 3
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath '%TEMP%\wlanext.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'wlanext.exe' (со скрытым окном)
