Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\Microsoft\Edge\Cache\g5m66""
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\lol""
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\edge\cache\g5m66\applicationframehost.exe
Сетевая активность
Подключается к
- 'dr##box.com':443
TCP
Другие
- 'dr##box.com':443
UDP
- DNS ASK dr##box.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /d /s /c "powershell.exe -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\Microsoft\Edge\Cache\g5m66""" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /d /s /c "powershell.exe -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\lol""" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /d /s /c ""%LOCALAPPDATA%\Microsoft\Edge\Cache\g5m66\ApplicationFrameHost.exe"" (со скрытым окном)
