Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\testad
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -Command "Add-MpPreference -ExclusionPath '%APPDATA%\TESTAD'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -Command "Add-MpPreference -ExclusionProcess '%APPDATA%\TESTAD\<Имя файла>.exe'"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\testad\<Имя файла>.exe
- nul
- %APPDATA%\testad\<Имя файла>.vbs
Сетевая активность
Подключается к
- 'localhost':8080
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Delete /TN TESTAD /F
- '<SYSTEM32>\schtasks.exe' /Create /TN TESTAD /TR \"%APPDATA%\TESTAD\<Имя файла>.exe\" /SC ONLOGON /RL HIGHEST /F
- '<SYSTEM32>\schtasks.exe' /Delete /TN "TESTAD Monitor" /F
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$a = New-ScheduledTaskAction -Execute 'wscript.exe' -Argument '\"%APPDATA%\TESTAD\<Имя файла>.vbs\"'; $t = New-ScheduledTaskTrigger -Onc...
