Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'OverlordAgent-faae7ea1' = '"%APPDATA%\Microsoft\DeviceSync\ovd_11cc50176d89.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\ovd_91ef2975
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\devicesync\agent-3458766611.tmp
- %APPDATA%\microsoft\devicesync\agent-976823865.tmp
- %APPDATA%\microsoft\devicesync\agent-1297973127.tmp
Перемещает следующие файлы
- %APPDATA%\microsoft\devicesync\agent-3458766611.tmp в %APPDATA%\microsoft\devicesync\ovd_11cc50176d89.exe
- %APPDATA%\microsoft\devicesync\agent-976823865.tmp в %APPDATA%\microsoft\devicesync\ovd_11cc50176d89.exe
- %APPDATA%\microsoft\devicesync\agent-1297973127.tmp в %APPDATA%\microsoft\devicesync\ovd_11cc50176d89.exe
Сетевая активность
Подключается к
- '<LOCALNET>.11.107':5173
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$a = New-ScheduledTaskAction -Execute '%APPDATA%\Microsoft\DeviceSync\ovd_11cc50176d89.exe'; $t = New-ScheduledTaskTrigger -AtLogOn; $s ... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$f = ([wmiclass]\"\\.\root\subscription:__EventFilter\").CreateInstance(); $f.QueryLanguage = 'WQL'; $f.Query = \"SELECT * FROM __Instan... (со скрытым окном)
