Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'OverlordAgent-09e6bc46' = '"%APPDATA%\Microsoft\DeviceSync\ovd_f06ea9460967.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\ovd_466cbed9
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\devicesync\agent-1229119341.tmp
- %APPDATA%\microsoft\devicesync\agent-1380258110.tmp
- %APPDATA%\microsoft\devicesync\agent-193185035.tmp
Перемещает следующие файлы
- %APPDATA%\microsoft\devicesync\agent-1229119341.tmp в %APPDATA%\microsoft\devicesync\ovd_f06ea9460967.exe
- %APPDATA%\microsoft\devicesync\agent-1380258110.tmp в %APPDATA%\microsoft\devicesync\ovd_f06ea9460967.exe
- %APPDATA%\microsoft\devicesync\agent-193185035.tmp в %APPDATA%\microsoft\devicesync\ovd_f06ea9460967.exe
Сетевая активность
Подключается к
- 'ra#.##ueforce.top':443
TCP
Другие
- 'ra#.##ueforce.top':443
UDP
- DNS ASK ra#.##ueforce.top
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$a = New-ScheduledTaskAction -Execute '%APPDATA%\Microsoft\DeviceSync\ovd_f06ea9460967.exe'; $t = New-ScheduledTaskTrigger -AtLogOn; $s ... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$f = ([wmiclass]\"\\.\root\subscription:__EventFilter\").CreateInstance(); $f.QueryLanguage = 'WQL'; $f.Query = \"SELECT * FROM __Instan... (со скрытым окном)
