Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\<Имя файла>
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- <Имя файла>.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\5304-3144-<Имя файла>.exe-07-33-12-426.dump
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %TEMP%\content\2356-3316-<Имя файла>.exe-07-33-29-286.dump
- %TEMP%\content\2356-3316-<Имя файла>.exe-07-33-29-527.dump
- %TEMP%\content\2356-3316-<Имя файла>.exe-07-33-57-844.dump
- %TEMP%\content\2356-3316-<Имя файла>.exe-07-33-58-729.dump
- %APPDATA%\<Имя файла>.exe
- %TEMP%\content\5988-692-<Имя файла>.exe-07-34-01-706.dump
- %TEMP%\content\5144-2732-<Имя файла>.exe-07-34-17-933.dump
- %TEMP%\content\5144-2732-<Имя файла>.exe-07-34-18-118.dump
- %TEMP%\content\5144-2732-<Имя файла>.exe-07-34-41-298.dump
- %TEMP%\content\5144-2732-<Имя файла>.exe-07-34-41-658.dump
Другое
Создает и запускает на исполнение
- '%APPDATA%\<Имя файла>.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMQAwAA== (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Start-Sleep -Seconds 3; Set-MpPreference -ExclusionPath C:\ (со скрытым окном)
