Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\svchost.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' powershell -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command Add-MpPreference -ExclusionPath "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
Изменения в файловой системе
Создает следующие файлы
- nul
Сетевая активность
UDP
- DNS ASK ra#.####ubusercontent.com
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Ищет следующие окна
- ClassName: 'TaskManagerWindow' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\svchost.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c timeout /t 5 /nobreak > nul & del /f /q "<Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\timeout.exe' /t 5 /nobreak
- '%APPDATA%\microsoft\windows\start menu\programs\startup\svchost.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' powershell -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup'" (со скрытым окном)
