Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\peercreator
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath $env:APPDATA"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\peerservice\peerservice.exe
- %APPDATA%\peerservice\rcx76d6.tmp
- nul
- %TEMP%\chw.aof
Перемещает следующие файлы
- %APPDATA%\peerservice\rcx76d6.tmp в %APPDATA%\peerservice\peerservice.exe
Сетевая активность
Подключается к
- 'localhost':1443
Другое
Создает и запускает на исполнение
- '%APPDATA%\peerservice\peerservice.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "schtasks /Create /TN "PeerCreator" /TR "%APPDATA%\PeerService\PeerService.exe" /SC ONLOGON /RL HIGHEST /F >nul 2>nul"
- '<SYSTEM32>\schtasks.exe' /Create /TN "PeerCreator" /TR "%APPDATA%\PeerService\PeerService.exe" /SC ONLOGON /RL HIGHEST /F
- '<SYSTEM32>\cmd.exe' /C "powershell -Command "Add-MpPreference -ExclusionPath $env:APPDATA""
- '<SYSTEM32>\cmd.exe' /C "for /l %i in () do (tasklist | find /i "PeerService.exe" >nul || (copy /y "%TEMP%\\chw.aof" "%APPDATA%\PeerService\PeerService.exe" & start "" "%APPDATA%\PeerService\PeerService.exe" & exit...
- '<SYSTEM32>\tasklist.exe'
- '<SYSTEM32>\find.exe' /i "PeerService.exe"
- '<SYSTEM32>\timeout.exe' /t 5
