Техническая информация
- '%TEMP%\1076135910\1076135910.exe'
- '%TEMP%\1094955977\1094955977.exe'
- '%APPDATA%\subdir\client.exe'
- %TEMP%\1076135910\1076135910.exe
- %TEMP%\ixp000.tmp\bits.ps1
- %TEMP%\ixp000.tmp\exec.bat
- %TEMP%\ixp000.tmp\rand.fil
- %TEMP%\1094955977\1094955977.exe
- %APPDATA%\subdir\client.exe
- %APPDATA%\logs\06-16-2020
- %TEMP%\ixp000.tmp\rand.fil
- %TEMP%\ixp000.tmp\exec.bat
- %TEMP%\ixp000.tmp\bits.ps1
- 'ma#######reguieta.no-ip.info':3406
- 'qu#####xima.zapto.org':3406
- http://ip##pi.com/json/
- DNS ASK ip##pi.com
- DNS ASK ma#######reguieta.no-ip.info
- DNS ASK qu#####xima.zapto.org
- '<SYSTEM32>\cmd.exe' /c echo.' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c exec.bat' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c echo.
- '<SYSTEM32>\cmd.exe' /c exec.bat
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NonInteractive -WindowStyle Hidden -ExecutionPolicy Bypass -File ".\bits.ps1"