Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'CLoaderService' = '"<Полный путь к файлу>" --embedded-browser-webview=1'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\cloaderupdate
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -Command "Add-MpPreference -ExclusionPath '%APPDATA%\Microsoft\Windows\cloader'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -Command "Add-MpPreference -ExclusionPath '<Текущая директория>'"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\cloader\svc.exe
- %APPDATA%\microsoft\windows\cloader\config.json
Сетевая активность
Подключается к
- '91.##.242.220':8081
TCP
Запросы HTTP GET
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /F /SC ONLOGON /TN CLoaderUpdate /TR "\"<Полный путь к файлу>\" --embedded-browser-webview=1" /RL HIGHEST
