Подскажите приложение ведущая такую активность может быть безопасным ?

Проверяет наличие доступных системных дисков (часто делается для заражения USB-накопителей)
Системный процесс подключается к сети (вероятно, из-за внедрения кода или эксплойта)
Устанавливает необработанное устройство ввода (часто для захвата нажатий клавиш)
Содержит функциональные возможности для получения информации о нажатых клавишах
Удаляет файлы сертификатов (DER)
Удаляет файлы внутри папки Windows
Содержит функцию выключения / перезагрузки системы
Создает файлы внутри системного каталога
Обнаружена потенциальная криптографическая функция
Найдены потенциальные функции дешифрования / распределения строк
Пытается загрузить отсутствующие библиотеки DLL
Использует методы обфускации кода (call, push, ret)
Содержит функциональные возможности для динамического определения вызовов API
PE-файл содержит недопустимую контрольную сумму
Сбрасывает PE-файлы в каталог прикладной программы (C: \ ProgramData)
Удаляет PE файлы
Сбрасывает PE-файлы в каталог Windows (C: \ Windows)
Использует cacls для изменения разрешений файлов
Мониторинг определенных ключей / значений реестра для изменений (часто делается для защиты функциональности автозапуска)
Уклонение от системы анализа вредоносных программ:
Пытается отложить выполнение (обширный цикл OutputDebugStringW)
Может спать (уклончивые петли), чтобы затруднить динамический анализ
Обнаружена обходная цепочка API (проверка даты)
Обнаружен сброшенный PE-файл, который не был запущен или загружен
Содержит возможности для обнаружения виртуальных машин
Содержит функцию проверки, запущен ли отладчик (OutputDebugString, GetLastError)
Содержит функциональные возможности для динамического определения вызовов API
Содержит функции, которые можно использовать для обнаружения отладчика (GetProcessHeap)
Системный процесс подключается к сети (вероятно, из-за внедрения кода или эксплойта)
Источник: C: \ Windows \ SysWOW64 \ rundll32.e xeСетевое подключение: 34.232.134 .49 443
Источник: C: \ Windows \ SysWOW64 \ rundll32.e xeСетевое подключение: 52.7.39.17 5 443
Создает процесс в приостановленном режиме (вероятно, для внедрения кода)
Может попытаться обнаружить процесс Windows Explorer (часто используется для инъекций)
Запрашивает информацию о томе (имя, серийный номер и т. Д.) Устройства
Содержит функциональные возможности для запроса информации о локали (например, системном языке)