Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath "C:\Dumper,%APPDATA%,%ProgramFiles(x86)%\IObit\Driver Booster\13.3.0,"%ProgramFiles(x86)%\IObit"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "C:\Dumper,%ProgramFiles(x86)%\IObit\Driver Booster\13.3.0,"%ProgramFiles(x86)%\
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath-C:HackTool:Win32\Crack MTB\Program Files (x86)\IObit\Driver Booster\13.3.0,"%ProgramFiles(x86)%\
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Update tool asc" dir=in action=deny program="%ProgramFiles(x86)%\IObit\Driver Booster\13.3.0\AutoUpdate.exe" enable=yes
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\6894.tmp\6895.tmp\68a6.bat
- %APPDATA%\update.1.3.exe
- %APPDATA%\version.dll
Удаляет файлы, которые сам же создал
- %TEMP%\6894.tmp\6895.tmp\68a6.bat
Сетевая активность
UDP
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\6894.tmp\6895.tmp\68A6.bat <Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\tskill.exe' IObitDownloader
- '<SYSTEM32>\tskill.exe' PreCare
- '<SYSTEM32>\tskill.exe' Scheduler
- '<SYSTEM32>\tskill.exe' DriverBooster
- '<SYSTEM32>\tskill.exe' Vulnerabilityfix
- '<SYSTEM32>\msg.exe' * Driver booster activated
