Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\loader.ps1
- %TEMP%\5pofozqi.0.cs
- %TEMP%\5pofozqi.cmdline
- %TEMP%\5pofozqi.out
- %TEMP%\cscacdc.tmp
- %TEMP%\resacec.tmp
- %TEMP%\5pofozqi.dll
Удаляет следующие файлы
- %TEMP%\resacec.tmp
- %TEMP%\cscacdc.tmp
- %TEMP%\5pofozqi.dll
- %TEMP%\5pofozqi.cmdline
- %TEMP%\5pofozqi.pdb
- %TEMP%\5pofozqi.0.cs
- %TEMP%\5pofozqi.out
Сетевая активность
Подключается к
- 'localhost':19811
TCP
Запросы HTTP GET
- http://www.4u##.com/uploads/file_2020-02-12_074746.mp4
- http://www.4u##.com/uploads/file_2020-02-12_074722.mp3
UDP
- DNS ASK 4u##.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -executionpolicy bypass -noprofile -windowstyle hidden -noexit -file %TEMP%\Loader.ps1
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\5pofozqi.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESACEC.tmp" "%TEMP%\CSCACDC.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\5pofozqi.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESACEC.tmp" "%TEMP%\CSCACDC.tmp"
