Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\windowspowershell\v1.0\powershell.exe
Патчит код
в динамической библиотеке
- Процесс mlnbei.exe, модуль win32u.dll
- Процесс cmd.exe, модуль win32u.dll
- Процесс powershell.exe, модуль win32u.dll
в динамической библиотеке NTDLL
- Процесс mlnbei.exe, модуль ntdll.dll
- Процесс cmd.exe, модуль ntdll.dll
- Процесс powershell.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\cw11vcpe.bat
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\CW11VCPE.bat" "<Полный путь к файлу>" " (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command "$b64 = Get-Content '<Текущая директория>\SheIlExperienceHost.b64' -Raw; $s = [System.Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($b64...
