Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\yjzlxkdoi.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\windowsoptions\install.vbs
- %ProgramFiles%\windowsoptions\run.ps1
- %ProgramFiles%\windowsoptions\unrar.exe
- %ProgramFiles%\windowsoptions\sfx.rar
- %ALLUSERSPROFILE%\windowsoptions\install_log.txt
- %ProgramFiles%\windowsoptions\yjzlxkdoi.exe
Сетевая активность
Подключается к
- '17#.#.164.115':56001
- '17#.#.164.115':56002
- '17#.#.164.115':56003
Другое
Ищет следующие окна
- ClassName: 'Edit' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%ProgramFiles%\WindowsOptions\install.vbs"
- '%ProgramFiles%\windowsoptions\unrar.exe' x -y -pByeFriend! "%ProgramFiles%\WindowsOptions\sfx.rar" "%ProgramFiles%\WindowsOptions\"
- '%ProgramFiles%\windowsoptions\yjzlxkdoi.exe'
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -File "run.ps1" (со скрытым окном)
- '%ProgramFiles%\windowsoptions\yjzlxkdoi.exe' (со скрытым окном)
