Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'SystemUpdate' = '<Полный путь к файлу>'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath C:\"
Запускает на исполнение
- '<SYSTEM32>\net.exe' stop WinDefend /y
Сетевая активность
Подключается к
- '<DNS_SERVER>':53
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
- '<SYSTEM32>\cmd.exe' /c powershell -Command "Add-MpPreference -ExclusionPath C:\"
- '<SYSTEM32>\cmd.exe' /c net stop WinDefend /y
- '<SYSTEM32>\net1.exe' stop WinDefend /y
