Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM tree.com
- '<SYSTEM32>\taskkill.exe' /F /IM ping.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\tree.com
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\windowspowershell\v1.0\powershell.exe
Изменения в файловой системе
Создает следующие файлы
- nul
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "title DECRYPTING_SAM & color 0a & echo [*] INITIALIZING PAYLOAD... & ping 127.0.0.1 -n 2 >nul & tree <SYSTEM32>"
- '<SYSTEM32>\cmd.exe' /c "title SYSTEM_OVERRIDE & color 0c & echo [!] OVERRIDING DEFENDER... & ping 127.0.0.1 -n 2 >nul & dir /s C:\"
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 2
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoExit -Command "$host.ui.RawUI.WindowTitle='C2_UPLINK'; Write-Host 'CONNECTING TO DARKNET C2 SERVER...' -ForegroundColor Green; Start-Sleep -s 1; Get-ChildItem C:\\Users -Recurse -ErrorAction...
- '<SYSTEM32>\tree.com' <SYSTEM32>
- '<SYSTEM32>\cmd.exe' /c taskkill /F /IM tree.com >nul 2>&1
- '<SYSTEM32>\cmd.exe' /c taskkill /F /IM ping.exe >nul 2>&1
