Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -WindowStyle Hidden -Command " try { if (Get-Command Add-MpPreference -ErrorAction SilentlyContinue) { $ProgramFiles = [System.Enviro...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei57322\vcruntime140.dll
- %TEMP%\_mei57322\_bz2.pyd
- %TEMP%\_mei57322\_ctypes.pyd
- %TEMP%\_mei57322\_decimal.pyd
- %TEMP%\_mei57322\_hashlib.pyd
- %TEMP%\_mei57322\_lzma.pyd
- %TEMP%\_mei57322\_socket.pyd
- %TEMP%\_mei57322\_ssl.pyd
- %TEMP%\_mei57322\base_library.zip
- %TEMP%\_mei57322\libcrypto-3.dll
- %TEMP%\_mei57322\libffi-8.dll
- %TEMP%\_mei57322\libssl-3.dll
- %TEMP%\_mei57322\python313.dll
- %TEMP%\_mei57322\select.pyd
- %TEMP%\_mei57322\unicodedata.pyd
- %TEMP%\8hrlz1kg
Удаляет файлы, которые сам же создал
- %TEMP%\8hrlz1kg
- %TEMP%\_mei57322\base_library.zip
- %TEMP%\_mei57322\libcrypto-3.dll
- %TEMP%\_mei57322\libffi-8.dll
- %TEMP%\_mei57322\libssl-3.dll
- %TEMP%\_mei57322\python313.dll
- %TEMP%\_mei57322\select.pyd
- %TEMP%\_mei57322\unicodedata.pyd
- %TEMP%\_mei57322\vcruntime140.dll
- %TEMP%\_mei57322\_bz2.pyd
- %TEMP%\_mei57322\_ctypes.pyd
- %TEMP%\_mei57322\_decimal.pyd
- %TEMP%\_mei57322\_hashlib.pyd
- %TEMP%\_mei57322\_lzma.pyd
- %TEMP%\_mei57322\_socket.pyd
- %TEMP%\_mei57322\_ssl.pyd
Сетевая активность
TCP
Другие
- '15#.#01.1.91':443
UDP
- DNS ASK ra#.####ubusercontent.com
Другое
Перезапускает анализируемый образец
