Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'OverlordAgent-d2a10488' = '"%APPDATA%\Microsoft\DeviceSync\ovd_6c7c475e28c6.exe"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\agent-2212769900.tmp
- <SYSTEM32>\tasks\ovd_7d562b98
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\devicesync\agent-4143299048.tmp
- %APPDATA%\microsoft\devicesync\agent-3894965972.tmp
- %APPDATA%\microsoft\devicesync\agent-487716713.tmp
Перемещает следующие файлы
- %APPDATA%\microsoft\devicesync\agent-4143299048.tmp в %APPDATA%\microsoft\devicesync\ovd_6c7c475e28c6.exe
- %APPDATA%\microsoft\devicesync\agent-3894965972.tmp в %APPDATA%\microsoft\devicesync\ovd_6c7c475e28c6.exe
- %APPDATA%\microsoft\devicesync\agent-487716713.tmp в %APPDATA%\microsoft\devicesync\ovd_6c7c475e28c6.exe
Сетевая активность
Подключается к
- 'localhost':5173
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$a = New-ScheduledTaskAction -Execute '%APPDATA%\Microsoft\DeviceSync\ovd_6c7c475e28c6.exe'; $t = New-ScheduledTaskTrigger -AtLogOn; $s ... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$f = ([wmiclass]\"\\.\root\subscription:__EventFilter\").CreateInstance(); $f.QueryLanguage = 'WQL'; $f.Query = \"SELECT * FROM __Instan... (со скрытым окном)
