Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\exclusiontask
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\log.txt
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c powershell -WindowStyle Hidden -ep bypass -c "$action1=New-ScheduledTaskAction -Execute 'cmd.exe' -Argument '/c powershell -WindowStyle Hidden -ep bypass -c Set-MpPreference -ExclusionPath @... (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -ep bypass -c "$action1=New-ScheduledTaskAction -Execute 'cmd.exe' -Argument '/c powershell -WindowStyle Hidden -ep bypass -c Set-MpPreference -ExclusionPath @((Get-MpPrefer...
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /run /tn ExclusionTask (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /run /tn ExclusionTask
- '<SYSTEM32>\cmd.exe' /c powershell -WindowStyle Hidden -ep bypass -c Set-MpPreference -ExclusionPath @((Get-MpPreference). ExclusionPath + 'C:\')
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -ep bypass -c Set-MpPreference -ExclusionPath @((Get-MpPreference). ExclusionPath + 'C:\')
