Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'FileApPath' = '%WINDIR%\SysWOW64\regsvr32.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '%WINDIR%\SysWOW64\regsvr32.exe'"
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "$regPath = 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run';if (-not (Test-Path $regPath)) { New-Item -Path $regPath -Force };Set-ItemProperty -Path $regPath -Name 'FileApPath' -...
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '%WINDIR%\SysWOW64\regsvr32.exe'" (со скрытым окном)
