Ставится в несколько мест одновременно. Вектор атаки пока непонятен. Поведение следующее:
- Ставится python в AppData\Local, там же создаются случайные директории с бинарной информацией в base64.
- Регистрируются случайные службы, запускающиеся регулярно. Нужно отключить все, что есть в taskmgr /0 /startup лишнего, и все, что недавно появилось, в taskschd.msc. Запускают они в т.ч. скрипты на питоне.
- Хром начинает работать через левую прокси. Если ее убрать - она восстанавливается через некоторое время.
- В Хроме может появиться плашка 'ваш браузер управляется организацией'
- Вирус также проявляет себя консолью wbem\wmic.exe