Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\agent-1555371873.tmp
- <SYSTEM32>\tasks\wininit_f1ee16d2
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\devicesync\agent-1326975408.tmp
Перемещает следующие файлы
- %APPDATA%\microsoft\devicesync\agent-1326975408.tmp в %APPDATA%\microsoft\devicesync\wininit.exe
Сетевая активность
Подключается к
- '77.##0.127.153':5173
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -WindowStyle Hidden -Command "$a = New-ScheduledTaskAction -Execute '%APPDATA%\Microsoft\DeviceSync\wininit.exe'; $t = New-ScheduledTaskTrigger -AtLogOn; $s = New-Sch... (со скрытым окном)
