Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'OverlordAgent-3658b4df' = '"%APPDATA%\Microsoft\DeviceSync\ovd_2aef81a8d747.exe"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\agent-1107040440.tmp
- <SYSTEM32>\tasks\ovd_214a247b
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\devicesync\agent-2245434166.tmp
- %APPDATA%\microsoft\devicesync\agent-2272828571.tmp
- %APPDATA%\microsoft\devicesync\agent-3422239008.tmp
Перемещает следующие файлы
- %APPDATA%\microsoft\devicesync\agent-2245434166.tmp в %APPDATA%\microsoft\devicesync\ovd_2aef81a8d747.exe
- %APPDATA%\microsoft\devicesync\agent-2272828571.tmp в %APPDATA%\microsoft\devicesync\ovd_2aef81a8d747.exe
- %APPDATA%\microsoft\devicesync\agent-3422239008.tmp в %APPDATA%\microsoft\devicesync\ovd_2aef81a8d747.exe
Сетевая активность
UDP
- DNS ASK te######39095.portmap.host
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$a = New-ScheduledTaskAction -Execute '%APPDATA%\Microsoft\DeviceSync\ovd_2aef81a8d747.exe'; $t = New-ScheduledTaskTrigger -AtLogOn; $s ... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$f = ([wmiclass]\"\\.\root\subscription:__EventFilter\").CreateInstance(); $f.QueryLanguage = 'WQL'; $f.Query = \"SELECT * FROM __Instan... (со скрытым окном)
