Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\Wdf2B9F] 'ImagePath' = '%TEMP%\.000E2B90.sys'
Создает следующие сервисы
- 'Wdf2B9F' %TEMP%\.000E2B90.sys
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\securityhealthsystray.exe
- <SYSTEM32>\securityhealthservice.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\.000e2b90.sys
- %WINDIR%\temp\.avk.ps1
- %ALLUSERSPROFILE%\microsoft\windows security health\logs\shs-06112026-133708-7-7f-19041.1.amd64fre.vb_release.191206-1406.etl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w h -NonInteractive -ep bypass -File %WINDIR%\Temp\.avk.ps1
Запускает на исполнение
- '<SYSTEM32>\securityhealthservice.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w h -NonInteractive -ep bypass -File %WINDIR%\Temp\.avk.ps1 (со скрытым окном)
