Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>' = '<Полный путь к файлу>'
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>' = '<Полный путь к файлу>'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\<Имя файла>-3781
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '<Текущая директория>'"
Изменения в файловой системе
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -Command " $action = New-ScheduledTaskAction -Execute '<Полный путь к файлу>' $trigg... (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c powershell -Command "Add-MpPreference -ExclusionPath '<Текущая директория>'" (со скрытым окном)
