Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\local security authority subsystem service
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -NonInteractive -Command "$path = '%HOMEPATH%\AppData'; $exclusions = Get-MpPreference | Select-Object -ExpandProperty ExclusionPath; if ($exclusions -contains $path) { } el...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\system tools\lsass.exe
- %HOMEPATH%\.napagent.json
- %LOCALAPPDATA%\microsoft\windows\napagent.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\start menu\programs\system tools\lsass.exe
Сетевая активность
Подключается к
- '18#.#30.45.138':3333
UDP
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\microsoft\windows\napagent.exe'
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -NonInteractive -Command "$path = '%HOMEPATH%\AppData'; $exclusions = Get-MpPreference | Select-Object -ExpandProperty ExclusionPath; if ($exclusions -contains $path) { } el... (со скрытым окном)
- '%LOCALAPPDATA%\microsoft\windows\napagent.exe' (со скрытым окном)
