Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.js.lnk
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\<Имя файла>.js
- %APPDATA%\<Имя файла>.js.vbs
Сетевая активность
Подключается к
- 'se##.vipers.pw':8880
UDP
- DNS ASK se##.vipers.pw
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Copy-Item -Path '<PATH_SAMPLE>.js' -Destination '%APPDATA%\<Имя файла>.js'' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' 'Set WshShell = WScript.CreateObject("""WScript.Shell""") obj = WshShell.Run("""wscript.exe /E:jscript """"""%APPDATA%\<Имя файла>.js""""""""", 0) set WshShell = Nothing' | Out-File '%APPDATA%\...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $WshShell = New-Object -comObject WScript.Shell;$Shortcut = $WshShell.CreateShortcut("""%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\<Имя файла>.js.lnk""");$Shortcut.Arguments = """ ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Copy-Item -Path '<PATH_SAMPLE>.js' -Destination '%APPDATA%\<Имя файла>.js'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' 'Set WshShell = WScript.CreateObject("""WScript.Shell""") obj = WshShell.Run("""wscript.exe /E:jscript """"""%APPDATA%\<Имя файла>.js""""""""", 0) set WshShell = Nothing' | Out-File '%APPDATA%\...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $WshShell = New-Object -comObject WScript.Shell;$Shortcut = $WshShell.CreateShortcut("""%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\<Имя файла>.js.lnk""");$Shortcut.Arguments = """ ...
