Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'NetAdapter' = '"<SYSTEM32>\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -NonInteractive -WindowStyle Hidden -ExecutionPolicy Bypass -F...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\syswow64\netadapter.ps1
- nul
Сетевая активность
UDP
- DNS ASK ip##i.co
- DNS ASK vc######stributable.help
- DNS ASK ra####rd.vercel.app
- DNS ASK ap#.##legram.org
- DNS ASK ip##pi.com
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -ExecutionPolicy Bypass -File "%APPDATA%\sysWoW64\NetAdapter.ps1" silent_arg
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C ping -n 5 127.0.0.1 >nul & del /F /Q "<Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\ping.exe' -n 5 127.0.0.1
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -ExecutionPolicy Bypass -File "%APPDATA%\sysWoW64\NetAdapter.ps1" silent_arg (со скрытым окном)
