Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\dxwebsetup0
- <SYSTEM32>\tasks\dxwebupdate
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -C "Add-MpPreference -ExclusionPath 'C:', '%ALLUSERSPROFILE%'"
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\directxsetup\dxwebsetup0.exe
- %ALLUSERSPROFILE%\directxsetup\dxwebupdate.exe
- %ALLUSERSPROFILE%\directxsetup\version.txt
- nul
Сетевая активность
UDP
- DNS ASK ap#.##legram.org
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn dxwebsetup0 /sc ONLOGON /tr %ALLUSERSPROFILE%\DirectXSetup\dxwebsetup0.exe /rl HIGHEST (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn dxwebupdate /sc ONLOGON /tr %ALLUSERSPROFILE%\DirectXSetup\dxwebupdate.exe /rl HIGHEST (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /query /tn dxwebsetup0 (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /query /tn dxwebupdate (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -C "Add-MpPreference -ExclusionPath 'C:', '%ALLUSERSPROFILE%'" (со скрытым окном)
